Автор: Белов Е.Б. Лось В.П. Мещеряков Р.В. Шелупанов А.А.
Теги: компьютерные технологии вычислительная техника микропроцессоры информационная безопасность
ISBN: 5-93517-292-5
Год: 2006
Текст
УЧЕБНОЕ посо:
ДЛЯ ВЫСШИХ УЧЕБНЫХ ЗАВЕДЕНИЙ
Основы информационной
безопасности
I. Белов, В. И. Лось,
I. Мещеряков, а. а. ШЕлуоанвв
Е. Б. Белов, В. Лось,
Р. В. Мещеряков, Д. А. Шелупанов
Основы
информационной
безопасности
Допущено Министерством образования и науки
Российской Федерации в качестве учебного пособия
для студентов высших учебных заведений,
обучающихся по специальностям
в области информационной безопасности
Москва
Горячая линия - Телеком
2006
ББК 32.97
УДК 681.3
0-75
Рецензент: доктор физ.-мат. наук, профессор С. С. Бондарчук
0-75 Основы информационной безопасности. Учебное пособие для вузов
/ Е. Б. Белов, В. П. Лось, Р. В. Мещеряков, А. А. Шелупанов. -
М.: Горячая линия - Телеком, 2006. - 544 с.: ил.
ISBN 5-93517-292-5.
Изложены вопросы теории и практики обеспечения информационной
безопасности личности, общества и государства. Большое внимание уделено
проблеме безопасности автоматизированных систем, включая вопросы оп-
ределения модели нарушителя и требований к защите информации. Анали-
зируются современные способы и средства защиты информации и архитек-
тура систем защиты информации. В приложениях приведен справочный ма-
териал по ряду нормативных правовых документов и вариант рабочей про-
граммы по дисциплине «Основы информационной безопасности».
Для студентов высших учебных заведений, обучающихся по специ-
альностям в области информационной безопасности, может быть полезной
доя широкого круга читателей, интересующихся вопросами обеспечения
информационной безопасности.
ББК 32.97
Адрес издательства в Интернет www. techbook, ru
e-mail: radios hl(a),mtu-net.ru
Учебное издание
Белов Евгений Борисович, Лось Владимир Павлович,
Мещеряков Роман Валерьевич, Шелупанов Александр Александрович
ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Учебное пособие
Редактор Е. А. Лебедев
Корректор А. Н Иванова
Компьютерная верстка О. А. Петренко
Обложка художника В. Г. Сегина
ЛР № 071825 от 20 марта 1999 г.
Подписано в печать 16.08.05. Формат 60x88/16. Печать офсетная
Уч.-изд. л. 34. Тираж 3000 экз. Изд. № 292
ISBN 5-93517-292-5 © Е. Б. Белов, В. И. Лось, Р. В. Мещеряков,
А. А. Шелупанов, 2006
© Оформление издательства
«Горячая линия-Телеком», 2006
Предисловие
В книге рассматриваются ключевые разделы курса «Основы инфор-
мационной безопасности». В него включены как теоретические, так и
практические разделы, направленные на развитие навыков анализа и со-
вершенствования информационной безопасности объектов.
Главная цель книги - познакомить обучаемых с основами информа-
ционной безопасности, определить основные направления развития этой
области знаний, в рамках образовательной программы попытаться сфор-
мировать у них элементы «информационной культуры». Авторы не пре-
тендуют на собственную исключительность и глубинные научные иссле-
дования в области информационной безопасности. Не случайно, что
и пособие имеет название «Основы информационной безопасности», а не,
например, «Теоретические основы информационной безопасности».
В этом случае нам пришлось бы основательно потрудиться над теорети-
ческими обоснованиями многих утверждений. Наша цель куда более
скромна - пробудить интерес у обучаемых к серьезному и вдумчивому
изучению проблем информационной безопасности.
В настоящее время появилось много книг, посвященных рассматри-
ваемой тематике. В ряде основополагающих работ Расторгуева С.П.,
Ярочкина В. И., Герасименко В. А., Малюка А. А. и других авторов дос-
таточно точно, конкретно и правильно представлены понятия, определе-
ния и положения в области информационной безопасности. Многие
из них мы использовали в учебном пособии, в частности в него практиче-
ски полностью вошли разделы, связанные с информационными система-
ми (см. источники [31, 30] ч. 2).
В пособии приведен глоссарий основных терминов. Обращаем вни-
мание на то, что все без исключения определения и термины взяты нами
из соответствующих законов РФ в области информации, защиты инфор-
мации и информационной безопасности. Эго освобождает авторов от не-
обходимости использовать определения других авторов, не всегда, на наш
взгляд, корректные и точные. Кроме того, приведены наиболее употреб-
ляемые термины, используемые в области информационной безопасно-
сти, на английском языке и их перевод.
В пособии представлены некоторые законодательные акты, которые
могут использоваться обучаемыми студентами в качестве правовой базы
обеспечения информационной безопасности.
Учебное пособие основано на опыте преподавания дисциплины «Ос-
новы информационной безопасности» в Институте криптографии, связи
3
Основы информационной безопасности
и информатики Академии ФСБ России и Томском государственном уни-
верситете систем управления и радиоэлектроники.
Данная дисциплина включена в государственный образовательный
стандарт по специальностям: 090102 - «Компьютерная безопасность»,
090105 - «Комплексное обеспечение информационной безопасности ав-
томатизированных систем», 090106 - «Информационная безопасность
телекоммуникационных систем». Рабочая программа этой дисциплины,
контрольные вопросы и задания также приведена в приложениях.
Государственные образовательные стандарты (ГОС) по группе спе-
циальностей «Информационная безопасность» предусматривают изуче-
ние следующих тем: понятие национальной безопасности; виды безопас-
ности; информационная безопасность (ИБ) в системе национальной безо-
пасности РФ; основные понятия, общеметодологические принципы
теории ИБ; анализ угроз ИБ, проблемы информационной войны; государ-
ственная информационная политика; проблемы региональной информа-
ционной безопасности; виды информации; методы и средства обеспече-
ния ИБ; методы нарушения конфиденциальности, целостности и доступ-
ности информации; причины, виды искажения информации и каналы
утечки ее.
Авторы
4
В России все - секретно,
и ничто не тайна.
Мадам де Сталь
Введение
Отыскивать всему начало, как рекомендовал в свое время Козьма
Прутков, довольно сложное, а порой и неблагодарное занятие. Все ус-
ложняется многократно, когда речь идет о новых областях и направлени-
ях современных знаний. А то, что информационная безопасность - новая,
бурно развивающаяся область знаний не вызывает, надеемся, ни у кого
сомнений. В новых областях знаний, нет авторитетов, устоявшейся тер-
минологии, общепризнанных понятий, категорий, принципов и т. д.
Не существует и «надежной» аксиоматики, адекватно обозначающей
проблему. В самом деле, занявшись подготовкой данного материала, ав-
торы ознакомились со значительным количеством открытых литератур-
ных источников по данной проблеме и с удивлением обнаружили, что
«информация» чуть ли не самое употребляемое слово. Причем каких
только понятий и определений информации не давалось различными ав-
торами. Однако многим из них и в голову не пришло заглянуть в любой
учебник по теории информации, чтобы с первых страниц понять, что ин-
формация есть функция энтропии и подчиняется ряду объективных зако-
нов. Более того, знание этих законов существенно облегчает нам манипу-
ляции с информацией. Как же так?
Столкнулись мы и с существенно «механичными» представлениями
ряда авторов. Хотя достаточно внимательно присмотреться к любой био-
логической системе, чтобы определить присутствие в ней всех элементов
информационной системы и задуматься над проблемами информацион-
ной безопасности. В самом деле, многие общеизвестные факты из функ-
ционирования живых систем заставляют по-новому взглянуть на пробле-
му информационной безопасности.
«Вот вирус, пограничное между жизнью и неживой природой обра-
зование. Он показывает возможности нарушения чужой программы. Ви-
рус приспособился эксплуатировать определенный вид живых клеток,
«умеет» их находить, цепляться к их оболочке. Прицепившись, он про-
талкивает в клетку всего ОДНУ молекулу - РНК, в которой записаны ко-
манды по «производству» вирусов. И в клетке возникает тайное, теневое
правительство, которое подчиняет своей воле всю жизнедеятельность ог-
ромной системы (клетка по сравнению с вирусом - это целая страна). Все
ресурсы клетки направлены теперь на выполнение команд, записанных
во внедренной в нее матрице. Сложные производственные системы клет-
5
Основы информационной безопасности
ки ПЕРЕНАЛАЖИВАЮТСЯ на выпуск сердечников вируса и на то, что-
бы одеть их в белковую оболочку, после чего истощенная клетка погибает.
Это исходный, фундаментальный вариант взаимодействия, при кото-
ром один участник жизненной драмы заставляет действовать в его инте-
ресах и по его программе так, что это не распознается жертвами и не вы-
зывает у них сопротивления. Мы имеем случай манипуляции, проделан-
ной путем подмены дшумента, в котором записана вся производственная
программа.
Вообще же несть числа способам повлиять на поведение членов эко-
логического сообщества, окружающих живое образование. Растения об-
рамляют свои тычинки и пестик роскошной привлекательной декораци-
ей - цветком, выделяющим к тому же ароматный нектар. Насекомые уст-
ремляются на запах и цвет, платя за нектар работой по опылению.
Богомол притворился сухим листиком, не отличишь. Он создал не-
винный и скромный ложный образ, успокаивающий жертву.
Пчела-разведчица, найдя заросли медоносов, летит в улей и исполня-
ет перед товарищами танец, точно указывая направление на цель и рас-
стояние до нее.
Каракатица, став жертвой нападения страшного для нее хищника,
выпускает чернильную жидкость, а затем вырывает и выбрасывает в тем-
ное облачко свои внутренности. Они там заманчиво шевелятся, и просто-
душный хищник рад: попалась, голубушка! И пока он рыщет в черниль-
ной мути, циничная каракатица, принеся в жертву часть ради целого,
уползает отращивать новые внутренности.
Иногда сигналы, посылаемые в окружающую среду, «перехватыва-
ются» хищником или паразитом и становятся губительными для их от-
правителя. Грибок стрита наносит огромный урон урожаям пшеницы
в Азии и Африке. Его споры, дремлющие в земле, оживают лишь на чет-
вертый день после того, как пшеничное зерно после посева пустит ко-
рень - на свежем ростке корня паразитирует гриб. Как же определяет
грибок момент своей активизации и нападения? Сигналом служит одно
из веществ, выделяемых корнем (его недавно выделили из засеянной
земли, очистили, изучили строение и назвали стригол). Достаточно попа-
дания в спору грибка всего одной молекулы стригола, чтобы были запу-
щены бурные процессы жизнедеятельности. На беду себе семя пшеницы
«утечкой информации» программирует поведение своего паразита.
В других случаях, наоборот, паразит своей «химической информаци-
ей» (какими-то выделениями) программирует поведение эксплуатируе-
мых им существ. Иногда эффективность этого программирования бывает
так высока, что впору говорить о гипнотическом воздействии. Это осо-
бенно поражает, когда по программе действуют большие массы организ-
6
Введение
мов, например у «социальных», живущих большими колониями насеко-
мых. Так, например, устроились в муравейниках крошечные жучки - жу-
ки Ломехуза.
Своими манерами и движениями жучки Ломехуза очень напоминают
муравьев и хорошо владеют их языком жестов. Солидарные и трудолю-
бивые муравьи по первой же просьбе дают корм собрату. Муравей выра-
жает эту просьбу, определенным образом постукивая товарища. Жучки
«освоили» эти жесты и легко выманивают пищу. Но они прожорливы
и обязывают целые отряды муравьев переключиться на их кормежку.
На теле у жучков есть пучки золотистых волосков, на которых скаплива-
ются выделения. Рабочие муравьи слизывают эти выделения и утрачива-
ют всякий здравый смысл. Они начинают выкармливать жучков и их ли-
чинок с таким рвением, что оставляют без корма и собратьев, и даже соб-
ственные личинки. Возлюбив пришельцев, сами они впадают в полное
уничтожение, вплоть до того, что скармливают жучкам муравьиные яйца,
оставаясь без потомства. А если муравейнику грозит опасность, они спа-
сают личинок жука, бросая своих.
Ясно, что своими наркотическими выделениями жучки Ломехуза по-
сылают муравьям сигнал, блокирующий важную программу поведения,
заложенную в организм муравья, ту программу, которая в норме побуж-
дает муравья совершать действия, направленные на жизнеобеспечение
муравейника и продолжение рода. И видимо, переданная жучками ин-
формация не только блокирует «нормальную» программу, но перекоди-
рует ее, активизируя те действия муравьев, которые выгодны паразиту
[31]. Причем так, что муравьи просто счастливы выполнять эти дейст-
вия».
Согласитесь, весьма увлекательно и поучительно. Конечно, здесь
можно продолжить ряд примеров биологических систем, однако и без то-
го понятно: анализ биологических, или «живых», систем позволяет выйти
на многие аналогии систем информационных и их безопасности. По-
смотрите, как хитро переплетены вопросы защиты информации и защиты
от информации, информационные атаки и попытки (не всегда удачные)
противостояния этим атакам. Отсюда можно сделать вывод довольно
очевидный: многообразие живой природы дает нам достаточно основа-
ний смотреть на проблему информационной безопасности как на слож-
ный, интегрированный комплекс мероприятий.
Средства массовой информации (СМИ) муссируют не только и
не столько различного рода рекламу товаров и услуг, хотя одного этого
достаточно для того, чтобы испытать недовольство или откровенное раз-
дражение. Гораздо тоньше и опаснее СМИ проводят порой информаци-
7
Основы информационной безопасности
онные атаки, буквально «зомбируя» население городов, регионов и стран.
«Кстати, само понятие «зомбирование» стало так часто употребляться
направо и налево, что полезно уделить немного места и определить, что
это такое. Среди суеверий, распространенных на Гаити, интерес ученых
давно привлекала вера в зомби. Это оживший мертвец, которого злые
колдуны освобождают из могилы и заставляют служить в качестве раба.
Для этой веры есть материальные основания: колдуны, используя очень
сильный нейротоксин (тетродоксин), могут снижать видимую жизнедея-
тельность организма вплоть до полной видимости смерти - с полным па-
раличом. Если колдуну удавалось точно подобрать дозу, этот «умерший»
человек оживал в гробу и вытаскивался колдуном из могилы. Колдун да-
вал своему рабу съесть «огурец зомби» - снадобье, содержащее сильное
психоактивное растение Datura stramonium L., от которого тот впадал
в транс. Антропологи выяснили и социокультурное значение зомбирова-
ния - это санкции, накладываемые жрецами племени с целью поддержи-
вать порядок и подтверждать свою власть. Вера в зомбирование и силу
зомби разделялась всеми слоями гаитянского общества - страшные тон-
тон-макуты диктатора Дювалье считались его зомби, чего он, конечно,
не отрицал» [31].
Значит, можно сделать вывод о том, что очень важно знать теорети-
ческие и практические основы информационной безопасности, хотя бы
для того, чтобы избежать «дозированных информационных инъекций».
Теория защиты информации определяется как система основных
идей, относящихся к защите информации, дающая целостное представле-
ние о сущности проблемы защиты, закономерностях ее развития и суще-
ственных связях с другими отраслями знания, формирующаяся на основе
опыта практического решения задач защиты и определяющая основные
ориентиры в направлении совершенствования практики защиты инфор-
мации.
Составными частями теории являются:
• полные и систематизированные сведения о происхождении, сущно-
сти и содержании проблемы защиты;
• систематизированные результаты анализа развития теоретических
исследований и разработок, а также опыта практического решения
задач защиты;
• научно обоснованная постановка задачи защиты информации в со-
временных системах ее обработки, полно и адекватно учитывающая
текущие и перспективные концепции построения систем и техноло-
8
Введение
гий обработки, потребности в защите информации и объективные
предпосылки их удовлетворения;
• общие стратегические установки на организацию защиты информа-
ции, учитывающие все многообразие потенциально возможных усло-
вий защиты;
• методы, необходимые для адекватного и наиболее эффективного ре-
шения всех задач защиты и содержащие как общеметодологические
подходы к решению, так и конкретные прикладные методы решения;
• методологическая и инструментальная база, содержащая необходи-
мые методы и инструментальные средства для решения любой сово-
купности задач защиты в рамках любой выбранной стратегической
установки;
• научно обоснованные предложения по организации и обеспечению
работ по защите информации;
• научно обоснованный прогноз перспективных направлений развития
теории и практики защиты информации.
Информационная безопасность определяется способностью государ-
ства, общества, личности:
• обеспечивать с определенной вероятностью достаточные и защи-
щенные информационные ресурсы и информационные потоки для
поддержания своей жизнедеятельности и жизнеспособности, устой-
чивого функционирования и развития;
• противостоять информационным опасностям и угрозам, негативным
информационным воздействиям на индивидуальное и общественное
сознание и психику людей, а также на компьютерные сети и другие
технические источники информации;
• вырабатывать личностные и групповые навыки и умения безопасного
поведения;
• поддерживать постоянную готовность к адекватным мерам в инфор-
мационном противоборстве, кем бы оно ни было навязано.
Информационная война - действия, принимаемые для достижения
информационного превосходства в интересах национальной военной
стратегии, осуществляемые путем влияния на информацию и информа-
ционные системы противника при одновременной защите собственной
информации своих информационных систем. На следующем рисунке
представлены направления и цели защиты информации и их взаимосвязь.
Основы информационной безопасности
1. Защита
государственной
тайны
2. Защита
конфиденциальной
информации
общественного
назначения
3. Защита
конфиденциальной
информации
личности
4. Защита от
информационного
воздействия
1. Обеспечение режима
секретности
2. Криптографическая
защита и обеспечение
безопасности
шифровальной связи
3. Обеспечение
противодействия
техническим средствам
разведки
4. Защита электронно-
вычислительной техники
(ЭВТ), баз данных и
компьютерных сетей
5. Обеспечение
противодействия
информационному
оружию
Основная цель защиты любой конфиденциальной информации со-
стоит в том, чтобы предотвратить незаконное овладение ею конкурента-
ми или злоумышленниками.
Зарубежный опыт в области защиты интеллектуальной собственно-
сти и отечественный опыт в защите государственных секретов показыва-
ет, что эффективной может быть только комплексная защита, сочетаю-
щая в себе такие направления защиты, как правовая, организационная
и инженерно-техническая.
Комплексный характер защиты информации проистекает из ком-
плексных действий злоумышленников, стремящихся любыми средствами
добыть важную для конкурентной борьбы информацию. Здесь правомер-
но утверждение, что оружие защиты должно быть адекватно оружию на-
падения.
Читатель, видимо, уже сделал для себя вывод, что информационная
безопасность - достаточно сложная и многогранная проблема, решение
которой под силу хорошо организованным и подготовленным структу-
рам.
Что касается подходов к реализации защитных мероприятий по обес-
печению безопасности информационных систем, то сложилась трехста-
дийная (трехэтапная) разработка таких мер.
Первая стадия - выработка требований - включает:
• определение состава средств информационной системы (ИС);
анализ уязвимых элементов ИС;
Введение
• оценка угроз (выявление проблем, которые могут возникнуть из-за
наличия уязвимых элементов);
• анализ риска (прогнозирование возможных последствий, которые
могут вызвать эти проблемы).
Вторая стадия - определение способов защиты - включает ответы
на следующие вопросы:
• какие угрозы должны быть устранены и в какой мере?
• какие ресурсы системы должны быть защищаемы и в какой степени?
• с помощью каких средств должна быть реализована защита?
• какова должна быть полная стоимость реализации защиты и затраты
на эксплуатацию с учетом потенциальных угроз?
Третья стадия - определение функций, процедур и средств безопас-
ности, реализуемых в виде некоторых механизмов защиты.
11
Часть 1
ОСНОВЫ ГОСУДАРСТВЕННОЙ
ИНФОРМАЦИОННОЙ ПОЛИТИКИ
И ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
РОССИЙСКОЙ ФЕДЕРАЦИИ
1. Понятие национальной безопасности
1.1. Интересы и угрозы в области национальной
безопасности
В Концепции национальной безопасности РФ, утвержденной Указом
Президента РФ от 17.12.1997 г. № 1300 (в редакции Указа Президента РФ
от 10.01.2000 г. №24) [1], дается следующее определение национальной
безопасности.
Под национальной безопасностью РФ понимается безопасность ее
многонационального народа как носителя суверенитета и единственного
источника власти в РФ.
Национальные интересы России - это совокупность сбалансирован-
ных интересов личности, общества и государства в различных сферах
жизнедеятельности: экономической, внутриполитической, социальной,
международной, информационной, военной, пограничной, экологической
и других. В теории национальной безопасности используется понятие
«жизненно важные интересы». Жизненно важные интересы - это сово-
купность потребностей, удовлетворение которых надежно обеспечивает
существование и возможности прогрессивного развития личности, обще-
ства и государства [3]. В контексте данной книги понятия «национальные
интересы» и «жизненно важные интересы» являются идентичными.
Национальные интересы носят долгосрочный характер. В области
внутренней и внешней политики государства этими интересами опреде-
ляются:
• основные цели этой политики;
• стратегические и текущие задачи.
Национальные интересы обеспечиваются институтами государствен-
ной власти, осуществляющими свои функции, в том числе во взаимодей-
ствии с действующими на основе Конституции РФ и законодательства РФ
общественными организациями.
12
Часть 1. Основы государственной информационной политики
Интересы личности состоят в реализации конституционных прав
и свобод [2], в обеспечении личной безопасности, в повышении качества
и уровня жизни, в физическом, духовном и интеллектуальном развитии
человека и гражданина.
Интересы общества состоят в упрочении демократии, в создании
правового, социального государства, в достижении и поддержании обще-
ственного согласия, в духовном обновлении России.
Интересы государства состоят в незыблемости конституционного
строя, суверенитета и территориальной целостности России, в политиче-
ской, экономической и социальной стабильности, в безусловном обеспе-
чении законности и поддержании правопорядка, в развитии равноправно-
го и взаимовыгодного международного сотрудничества.
Реализация национальных интересов России возможна только на ос-
нове устойчивого развития экономики. Поэтому национальные интересы
России в этой сфере являются ключевыми.
Во внутриполитической сфере национальные интересы России со-
стоят в сохранении стабильности конституционного строя, институтов
государственной власти, в обеспечении гражданского мира и националь-
ного согласия, территориальной целостности, единства правового про-
странства, правопорядка и в завершении процесса становления демокра-
тического общества, а также в нейтрализации причин и условий, способ-
ствующих возникновению политического и религиозного экстремизма,
этносепаратизма и их последствий - социальных, межэтнических и рели-
гиозных конфликтов, терроризма.
Национальные интересы России в социальной сфере заключаются
в обеспечении высокого уровня жизни народа.
Национальные интересы в духовной сфере состоят в сохранении
и укреплении нравственных ценностей общества, традиций патриотизма
и гуманизма, культурного и научного потенциала страны.
Национальные интересы России в международной сфере заключа-
ются в обеспечении суверенитета, упрочении позиций России как вели-
кой державы - одного из влиятельных центров многополярного мира,
в развитии равноправных и взаимовыгодных отношений со всеми стра-
нами и интеграционными объединениями, прежде всего с государствами-
участниками Содружества Независимых Государств и традиционными
партнерами России, в повсеместном соблюдении прав и свобод человека
и недопустимости применения при этом двойных стандартов.
Национальные интересы России в информационной сфере заключа-
ются в соблюдении конституционных прав и свобод граждан в области
получения информации и пользования ею, в развитии современных теле-
13
Основы информационной безопасности
коммуникационных технологий, в защите государственных информаци-
онных ресурсов от несанкционированного доступа.
Национальные интересы России в военной сфере заключаются в за-
щите ее независимости, суверенитета, государственной и территориаль-
ной целостности, в предотвращении военной агрессии против России и ее
союзников, в обеспечении условий для мирного, демократического раз-
вития государства.
Национальные интересы России в пограничной сфере заключаются
в создании политических, правовых, организационных и других условий
для обеспечения надежной охраны государственной границы РФ, в со-
блюдении установленных законодательством РФ порядка и правил осу-
ществления экономической и иных видов деятельности в пограничном
пространстве РФ.
Национальные интересы России в экологической сфере заключают-
ся в сохранении и оздоровлении окружающей среды.
Важнейшими составляющими национальных интересов России яв-
ляются защита личности, общества и государства от терроризма, в том
числе международного, а также от чрезвычайных ситуаций природного
и техногенного характера и их последствий, а в военное время - от опас-
ностей, возникающих при ведении военных действий или вследствие
этих действий.
Достижению национальных интересов препятствуют те или иные уг-
розы. Угроза - это совокупность условий и факторов, создающих опас-
ность жизненно важным интересам личности, общества и государства [3],
это возможная опасность [4].
Состояние отечественной экономики, несовершенство системы орга-
низации государственной власти и гражданского общества, социально-
политическая поляризация российского общества и криминализация об-
щественных отношений, рост организованной преступности и увеличе-
ние масштабов терроризма, обострение межнациональных и осложнение
международных отношений создают широкий спектр внутренних и внешних
угроз национальной безопасности страны.
В сфере экономики угрозы имеют комплексный характер и обуслов-
лены прежде всего существенным сокращением внутреннего валового
продукта, снижением инвестиционной, инновационной активности и на-
учно-технического потенциала, стагнацией аграрного сектора, разбалан-
сированием банковской системы, ростом внешнего и внутреннего госу-
дарственного долга, тенденцией к преобладанию в экспортных поставках
топливно-сырьевой и энергетической составляющих, а в импортных по-
ставках - продовольствия и предметов потребления, включая предметы
первой необходимости.
14
Часть 1. Основы государственной информационной политики
Ослабление научно-технического и технологического потенциала
страны, сокращение исследований на стратегически важных направлени-
ях научно-технического развития, отток за рубеж специалистов и интел-
лектуальной собственности угрожают России утратой передовых пози-
ций в мире, деградацией наукоемких производств, усилением внешней
технологической зависимости и подрывом обороноспособности России.
Негативные процессы в экономике могут иметь своими последствия-
ми сепаратистские устремления ряда субъектов РФ. Это может привести
к усилению политической нестабильности, ослаблению единого эконо-
мического пространства России и его важнейших составляющих - произ-
водственно-технологических и транспортных связей, финансово-банков-
ской, кредитной и налоговой систем.
Экономическая дезинтеграция, социальная дифференциация общест-
ва, девальвация духовных ценностей способствуют усилению напряжен-
ности во взаимоотношениях регионов и центра, представляя собой угрозу
федеративному устройству и социально-экономическому укладу РФ.
Этноэгоизм, этноцентризм и шовинизм, проявляющиеся в деятельно-
сти ряда общественных объединений, а также неконтролируемая мигра-
ция способствуют усилению национализма, политического и религиозно-
го экстремизма, этносепаратизма и создают условия для возникновения
конфликтов.
Единое правовое пространство страны размывается вследствие несо-
блюдения принципа приоритета норм Конституции РФ над иными пра-
вовыми нормами, федеральных правовых норм над нормами субъектов
РФ, недостаточной отлаженности государственного управления на раз-
личных уровнях.
Угроза криминализации общественных отношений, складывающихся
в процессе реформирования социально-политического устройства и эко-
номической деятельности, приобретает особую остроту. Серьезные про-
счеты, допущенные на начальном этапе проведения реформ в экономиче-
ской, военной, правоохранительной и иных областях государственной
деятельности, ослабление системы государственного регулирования
и контроля, несовершенство правовой базы и отсутствие сильной госу-
дарственной политики в социальной сфере, снижение духовно-нравствен-
ного потенциала общества являются основными факторами, способст-
вующими росту преступности, особенно ее организованных форм, а так-
же коррупции.
Последствия этих просчетов проявляются в ослаблении правового
контроля за ситуацией в стране, в сращивании отдельных элементов ис-
полнительной и законодательной власти с криминальными структурами,
проникновении их в сферу управления банковским бизнесом, крупными
15
Основы информационной безопасности
производствами, торговыми организациями и товаропроводящими сетя-
ми. В связи с этим борьба с организованной преступностью и коррупцией
имеет не только правовой, но и политический характер.
Масштабы терроризма и организованной преступности возрастают
вследствие зачастую сопровождающегося конфликтами изменения форм
собственности, обострения борьбы за власть на основе групповых и эт-
нонационалистических интересов. Отсутствие эффективной системы со-
циальной профилактики правонарушений, недостаточная правовая и ма-
териально-техническая обеспеченность деятельности по предупрежде-
нию терроризма и организованной преступности, правовой нигилизм,
отток из органов обеспечения правопорядка квалифицированных кадров
увеличивают степень воздействия этой угрозы на личность, общество
и государство.
Угрозу национальной безопасности России в социальной сфере соз-
дают глубокое расслоение общества на узкий круг богатых и преобла-
дающую массу малообеспеченных граждан, увеличение удельного веса
населения, живущего за чертой бедности, рост безработицы.
Угрозой физическому здоровью нации являются кризис систем здра-
воохранения и социальной защиты населения, рост потребления алкоголя
и наркотических веществ.
Последствиями глубокого социального кризиса являются резкое со-
кращение рождаемости и средней продолжительности жизни в стране,
деформация демографического и социального состава общества, подрыв
трудовых ресурсов как основы развития производства, ослабление фун-
даментальной ячейки общества - семьи, снижение духовного, нравствен-
ного и творческого потенциала населения.
Углубление кризиса во внутриполитической, социальной и духовной
сферах может привести к утрате демократических завоеваний.
Основные угрозы в международной сфере обусловлены такими фак-
торами, как:
• стремление отдельных государств и межгосударственных объедине-
ний принизить роль существующих механизмов обеспечения между-
народной безопасности, прежде всего ООН и ОБСЕ;
• опасность ослабления политического, экономического и военного
влияния России в мире;
• укрепление военно-политических блоков и союзов, прежде всего рас-
ширение НАТО на восток;
• возможность появления в непосредственной близости от российских
границ иностранных военных баз и крупных воинских контингентов;
16
Часть 1. Основы государственной информационной политики
распространение оружия массового уничтожения и средств его дос-
тавки; ослабление интеграционных процессов в Содружестве Неза-
висимых Государств;
• возникновение и эскалация конфликтов вблизи государственной гра-
ницы РФ и внешних границ государств-участников Содружества Не-
зависимых Государств;
• притязания на территорию РФ.
Угрозы национальной безопасности РФ в международной сфере про-
являются в попытках других государств противодействовать укреплению
России как одного из центров влияния в многополярном мире, помешать
реализации национальных интересов и ослабить ее позиции в Европе,
на Ближнем Востоке, в Закавказье, Центральной Азии и Азиатско-Тихо-
океанском регионе.
Серьезную угрозу национальной безопасности РФ представляет тер-
роризм. Международным терроризмом развязана открытая кампания
в целях дестабилизации ситуации в России.
Усиливаются угрозы национальной безопасности РФ в информацион-
ной сфере. Серьезную опасность представляют собой стремление ряда
стран к доминированию в мировом информационном пространстве, вы-
теснению России с внешнего и внутреннего информационного рынка;
разработка рядом государств концепции информационных войн, преду-
сматривающей создание средств опасного воздействия на информацион-
ные сферы других стран мира; нарушение нормального функционирова-
ния информационных и телекоммуникационных систем, а также сохран-
ности информационных ресурсов, получение несанкционированного
доступа к ним.
Возрастают уровень и масштабы угроз в военной сфере.
Возведенный в ранг стратегической доктрины переход НАТО к прак-
тике силовых (военных) действий вне зоны ответственности блока и без
санкции Совета Безопасности ООН чреват угрозой дестабилизации всей
стратегической обстановки в мире.
Увеличивающийся технологический отрыв ряда ведущих держав
и наращивание их возможностей по созданию вооружений и военной тех-
ники нового поколения создают предпосылки качественно нового этапа
гонки вооружений, коренного изменения форм и способов ведения воен-
ных действий.
Активизируется деятельность на территории РФ иностранных специ-
альных служб и используемых ими организаций.
Усилению негативных тенденций в военной сфере способствуют за-
тянувшийся процесс реформирования военной организации и оборонного
17
Основы информационной безопасности
промышленного комплекса РФ, недостаточное финансирование нацио-
нальной обороны и несовершенство нормативной правовой базы. На со-
временном этапе это проявляется в критически низком уровне оператив-
ной и боевой подготовки Вооруженных сил РФ, других войск, воинских
формирований и органов, в недопустимом снижении укомплектованно-
сти войск (сил) современным вооружением, военной и специальной тех-
никой, в крайней остроте социальных проблем и приводит к ослаблению
военной безопасности РФ в целом.
Угрозы национальной безопасности и интересам РФ в пограничной
сфере обусловлены:
• экономической, демографической и культурно-религиозной экспан-
сией сопредельных государств на российскую территорию;
• активизацией деятельности трансграничной организованной пре-
ступности, а также зарубежных террористических организаций.
Угроза ухудшения экологической ситуации в стране и истощения ее
природных ресурсов находится в прямой зависимости от состояния эко-
номики и готовности общества осознать глобальность и важность этих
проблем. Для России эта угроза особенно велика из-за преимущественно-
го развития топливно-энергетических отраслей промышленности, нераз-
витости законодательной основы природоохранной деятельности, отсут-
ствия или ограниченного использования природосберегающих технологий,
низкой экологической культуры. Имеет место тенденция к использова-
нию территории России в качестве места переработки и захоронения
опасных для окружающей среды материалов и веществ. В этих условиях
ослабление государственного надзора, недостаточная эффективность
правовых и экономических механизмов предупреждения и ликвидации
чрезвычайных ситуаций увеличивают риск катастроф техногенного ха-
рактера во всех сферах хозяйственной деятельности.
Обеспечение национальной безопасности РФ во многом определяется
состоянием информационной безопасности.
Важнейшими задачами обеспечения информационной безопасности
РФ являются:
• реализация конституционных прав и свобод граждан РФ в сфере ин-
формационной деятельности;
• совершенствование и защита отечественной информационной ин-
фраструктуры, интеграция России в мировое информационное про-
странство;
• противодействие угрозе развязывания противоборства в информаци-
онной сфере.
18
Часть 1. Основы государственной информационной политики
Основу системы обеспечения национальной безопасности РФ состав-
ляют органы, силы и средства обеспечения национальной безопасности,
осуществляющие меры политического, правового, организационного,
экономического, военного и иного характера, направленные на обеспече-
ние безопасности личности, общества и государства.
Полномочия органов и сил обеспечения национальной безопасности
РФ, их состав, принципы и порядок действий определяются соответст-
вующими законодательными актами РФ.
1.2. Влияние процессов информатизации общества
на составляющие национальной безопасности
и их содержание
Процесс информатизации затронул практически все стороны жизни
общества. В соответствии с Федеральным законом от 20.02.1995 г. № 24-ФЗ
«Об информации, информатизации и защите информации» под инфор-
матизацией понимается организационный социально-экономический
и научно-технический процесс создания оптимальных условий для удов-
летворения информационных потребностей и реализации прав граждан,
органов государственной власти, органов местного самоуправления, ор-
ганизаций, общественных объединений на основе формирования и исполь-
зования информационных ресурсов.
В настоящее время невозможно себе представить деятельность круп-
ных банков, промышленных и торговых предприятий, транспортных ор-
ганизаций, правоохранительных органов без соответствующих баз дан-
ных и высокопроизводительной вычислительной техники.
Условно можно выделить следующие составляющие национальной
безопасности: экономическую, внутриполитическую, социальную, духов-
ную, международную, информационную, военную, пограничную, эколо-
гическую.
Содержание каждой из перечисленных составляющих отражено в со-
ответствующих нормативных правовых актах.
Информатизация является характерной чертой жизни современного
общества. Новые информационные технологии активно внедряются
во все сферы народного хозяйства. Компьютеры управляют космически-
ми кораблями и самолетами, контролируют работу атомных электро-
станций, распределяют электроэнергию и обслуживают банковские сис-
темы. Компьютеры являются основой множества автоматизированных
систем обработки информации (АСОН), осуществляющих хранение
и обработку информации, предоставление ее потребителям, реализуя тем
самым современные информационные технологии.
19
Основы информационной безопасности
По мере развития и усложнения средств, методов и форм автоматиза-
ции процессов обработки информации повышается зависимость общест-
ва от степени безопасности используемых им информационных техноло-
гий, от которых порой зависит благополучие, а иногда и жизнь многих
людей.
Актуальность и важность проблемы обеспечения безопасности ин-
формационных технологий обусловлены такими причинами, как:
• резкое увеличение вычислительной мощности современных компью-
теров при одновременном упрощении их эксплуатации;
• резкое увеличение объемов информации, накапливаемой, хранимой
и обрабатываемой с помощью компьютеров и других средств авто-
матизации;
• сосредоточение в единых базах данных информации различного на-
значения и различной принадлежности;
• высокие темпы роста парка персональных компьютеров, находящих-
ся в эксплуатации в самых разных сферах деятельности;
• резкое расширение круга пользователей, имеющих непосредствен-
ный доступ к вычислительным ресурсам и массивам данных;
• бурное развитие программных средств, не удовлетворяющих даже
минимальным требованиям безопасности;
• повсеместное распространение сетевых технологий и объединение
локальных сетей в глобальные;
• развитие глобальной сети Интернет, практически не препятствующей
нарушениям безопасности систем обработки информации во всем
мире.
2. Информационная безопасность в системе
национальной безопасности Российской Федерации
2.1. Основные понятия, общеметодологические принципы
обеспечения информационной безопасности
К основным понятиям в области обеспечения информационной безо-
пасности относятся понятия «информация», «информационная сфера»
и «информационная безопасность».
Приведем здесь два подхода к определению понятия «информация»
[8, 9].
20
Часть 1. Основы государственной информационной политики
Первый подход сводится к следующему. В философской литературе
«информация» раскрывается как «одно из наиболее общих понятий нау-
ки, обозначающее некоторые сведения, совокупность каких-либо данных,
знаний и т. п.» [6]. При этом отмечается, что «само понятие «информа-
ция» обычно предполагает наличие по крайней мере трех объектов: ис-
точника информации, потребителя информации и передающей среды.
Информация не может быть передана, принята или хранима в чистом ви-
де. Носителем информации является сообщение.
Отсюда следует, что понятие «информация» включает два основных
элемента: сведения и сообщения.
Сведения выполняют несколько основных функций [8]:
• познание окружающего мира (гносеологическая), включающее фор-
мирование представлений о структуре окружающей среды, накопле-
ние знаний о закономерностях изменения объектов среды и проте-
кающих в ней процессов; оценку состояния этих процессов;
• социальная коммуникация (коммуникативная), включающая форми-
рование представлений о способах удовлетворения базовых и вто-
ричных потребностей, формирование представлений о правилах по-
ведения в обществе, взаимодействия с другими людьми, о нравст-
венных ценностях, формирование личностных шкал ценности
материальных и духовных благ, которые могут быть использованы
для удовлетворения его потребностей, а также допустимости исполь-
зования для овладения ими известных средств нт. д.;
• удовлетворение потребностей (прагматическая), включающее целе-
полагание, т. е. формирование, оценку и выбор целей, достижение
которых способствует удовлетворению базовых и вторичных по-
требностей человека, и целедостижение как управление своей дея-
тельностью по достижению выбранных целей.
Все множество накопленных человеком сведений может быть пред-
ставлено в виде некоторой «базы знаний», в которой располагаются обра-
зы, возникающие в результате осознания полученных сообщений, ощу-
щения, вызванные этими образами, эмоциональные и прагматические
оценки этих образов. Между «объектами» «базы» могут быть установле-
ны определенные ассоциативные отношения. Совокупность сохраняю-
щихся у человека образов, ощущений, оценок с установившимися ассо-
циативными отношениями между ними образует знания.
Данная «база» составляет основное содержание информационной
модели человека.
21
Основы информационной безопасности
Мышление может быть представлено в виде процесса формирования
на основе имеющихся у человека сведений и знаний новых ассоциатив-
ных связей между объектами, расположенными в его «базе».
Объем информации, имеющейся у человека в форме сведений, может
быть измерен количеством накопленных им ощущений, образов, оценок
и ассоциативных отношений между ними. Чем больше этих ощущений,
образов и оценок, тем большим объемом информации располагает чело-
век. Соответственно количество информации, поступающей к человеку
посредством сообщения, может быть измерено количеством новых объ-
ектов «базы» (ощущений, образов, оценок, отношений между элементами
«базы»), проявляющихся в результате осознания сообщения.
Ценность информации, проявляющейся в форме сведений, определя-
ется субъективной важностью задачи, для решения которой данные све-
дения могут быть использованы, а также тем влиянием, которое оказали
сведения на решение задачи. Это влияние может выражаться в изменении
концептуальной модели задачи, в изменении приоритетов между воз-
можными вариантами ее решения, в оценке целесообразности решения
задачи вообще.
Информация, поступающая к человеку в форме сведений, обладает
рядом свойств:
• идеальностью - существованием только в сознании человека и
вследствие этого невозможностью восприятия органами чувств;
• субъективностью - зависимостью количества и ценности сведений
от информационной модели субъекта, получающего сведения;
• информационной неуничтожаемостъю - невозможностью уничто-
жения сведений другими сведениями, полученными человеком;
• динамичностью - возможностью изменения ценности имеющихся
сведений и знаний под воздействием времени, других поступающих
сведений;
• накапливаемостью - возможностью практически неограниченного
накопления сведений в информационной модели человека.
Способность получать, накапливать и использовать для обеспечения
жизнедеятельности информацию в форме сведений является свойством
всех живых объектов, однако объем и содержание выполняемых с их ис-
пользованием функций у различных классов этих объектов существенно
отличаются. Так, можно предположить, что функцию целеполагания вы-
полняет только человек.
Информация в форме сведения вследствие идеального характера дос-
таточно редко выступает в качестве объекта научных исследований.
22
Часть 1. Основы государственной информационной политики
К числу изучающих ее отраслей науки можно отнести психологию и ме-
дицину.
2. Понятие «сообщение» часто определяется как «кодированный эк-
вивалент события, зафиксированный источником информации и выра-
женный с помощью последовательности условных физических символов
(алфавита), образующих некоторую упорядоченную совокупность» [7].
С интересующей нас точки зрения сообщения используются, прежде
всего, для передачи сведений другим людям и составляют существо
представительной стороны информации, или ее представительной фор-
мы. Информация в форме сообщения появляется как реализация способ-
ности человека описывать сведения на некотором языке, представляю-
щем собой совокупность лексики и грамматики.
Человек, формируя сообщение, выделяет часть своей информацион-
ной модели, которую хочет передать, устанавливает отношения между ее
элементами и известными ему понятиями. С помощью языка в некотором
алфавите он осуществляет кодирование понятий, получая в результате
систематизированный набор знаков, который может быть передан другим
людям, т. е. происходит объективизация содержательной стороны ин-
формации и соответствующие сведения как бы становятся доступны для
восприятия органами чувств.
Воспринимая сообщение, человек устанавливает отношения между
составляющим его набором букв и знаков и известными ему понятиями,
а затем - образами, ощущениями, оценками, ассоциативными отноше-
ниями, т. е. преобразовывает представительную форму информации в ее
содержательную форму.
Исходя из этого, сообщение может быть представлено как совокуп-
ность набора передаваемых сведений и порядка (алгоритмов) их кодиро-
вания в набор знаков сообщения и декодирования в сведения. Без алго-
ритма кодирования сообщение превращается просто в набор знаков.
Человек как источник информации может обмениваться с техниче-
ской системой сообщениями только в том случае, если в ней заложен оп-
ределенный алгоритм декодирования передаваемого набора знаков, их
последующей обработки, а также алгоритм кодирования для передачи
человеку-потребителю ответного сообщения.
Преобразование информации из сведений в сообщения и из сообще-
ний в сведения составляет существо общего закона обращения информа-
ции.
Информация в форме сообщения обладает рядом свойств, к числу ко-
торых следует отнести:
• материальность - способность воздействовать на органы чувств;
23
Основы информационной безопасности
• измеримость - возможность количественной оценки параметров со-
общения (количество знаков, составляющих сообщение);
• сложность - наличие набора знаков и алгоритмов их кодирования
и декодирования;
• проблемная ориентированность - содержание сведений, относящих-
ся к одной их задач человеческой деятельности.
Информация в форме сообщений наиболее часто исследуется с тех-
нической, семантической и прагматической точек зрения.
С технической точки зрения сообщения представляют интерес как
объект передачи по каналам связи. При этом изучаются вопросы надеж-
ности, устойчивости, оперативности, дальности, помехозащищенности
передачи сообщений, в некоторых случаях - скрытности передачи, а так-
же принципы и методы проектирования систем передачи сообщений,
средств их защиты от несанкционированного доступа.
К числу наиболее выдающихся результатов, полученных в этой об-
ласти, обычно относят создание теории информации и кибернетики.
Представляется, что количество информации по Шеннону может ин-
терпретироваться как количество новых объектов «информационной мо-
дели» человека, которые должны возникнуть после его получения при
условии, что человек, получающий сообщение, не имел никаких сведений
как о существовании объекта информирования, так и о его свойствах.
С семантической точки зрения сообщения представляют интерес как
средство передачи сведений, т. е. совокупность набора знаков, получен-
ного в результате кодирования и требующего декодирования для исполь-
зования в практической деятельности. Данные свойства сообщения изу-
чаются, например, в криптографии, искусствоведении и филологии.
С прагматической точки зрения сообщения исследуются как средство
воздействия на информационную модель человека, детерминирования
его поведения. Учитывая, что сообщение служит средством передачи
сведений, ему могут быть приписаны те или иные свойства данных све-
дений, после чего оно, сообщение, может рассматриваться в качестве не-
которого их аналога, обладающего ценностью, достоверностью, своевре-
менностью и т. д. С этой точки зрения информация изучается в педагоги-
ке, юриспруденции, социологии, политологии, технических науках.
Второй подход к определению понятия «информация» состоит в сле-
дующем [9]. Термин «информация» в настоящее время исключительно
популярен. Если не пытаться дать ему четкое определение, а применять
в общепринятом бытовом смысле, мы действительно входим в «инфор-
мационную эпоху».
24
Часть 1, Основы государственной информационной политики
Есть некоторая историческая аналогия «информационной эпохи» XX в.
и «эпохи электричества» в XIX в. Еще многое было непонятно в природе
явления, с термином «электричество» связывались зачастую наивные
и фантастические представления, но он был столь же популярен. Сегодня
физика достаточно полно объясняет крайне сложные электромагнитные
процессы, обеспечивает базу для создания разнообразнейших электриче-
ских устройств и систем, проникающих во все области жизни, но надо
признать, что сам факт существования электрического заряда мы воспри-
нимаем на том же уровне древних, мы знаем только, что он - заряд -
есть. При этом мы уже осознали, что задолго до появления не только зна-
ния об электричестве, но и человека как такового электромагнитные яв-
ления (начиная от энергии света) определяли развитие жизни, т. е. «эпоха
электричества» изначальна.
Информационные процессы, целенаправленно формируемые челове-
ком, уже сегодня во многом поддаются описанию в понятиях математи-
ческой теории информации. Однако с первых шагов формирования этой
области науки отмечалось противоречие между конкретным, весьма ог-
раниченным предметом научного описания и исключительно широким
общепринятым пониманием термина «информация».
Один из признанных основоположников современной теории инфор-
мации - Р. В. Л. Хартли, определяя предмет своего исследования, отме-
чал в 1928 г.: «В обычном понимании термин «информация» слишком
эластичен; необходимо прежде всего установить для него специфический
смысл...» [10]. Специфика смысла для Хартли определялась процессом
передачи сигналов. При этом, подчеркивая необходимость исключения
психологических факторов, он ни в коей мере не ставил под сомнение
существование двух разумных операторов: формирующего и восприни-
мающего сигнал. В таком смысле термин «информация» получает
совершенно конкретное узкое значение. Например, он не может быть
применен для описания процесса наблюдения за пассивным объектом.
Крайнее несоответствие узкого значения термина «информация» его об-
щепринятому интуитивному содержанию отмечалось многими исследо-
вателями. Так, К. Черри отмечает: «В определенном смысле вызывает
сожаление то обстоятельство, что математическое понятие, введенное
Хартли, стало вообще называться информацией» [11].
Отметим, что в отличие от электричества роль информации в жизни
человека была интуитивно осознана с древнейших времен. «Вначале бы-
ло слово...» - мысль, пронизывающая сознание человека во все времена.
Материалистическое направление в философии отказалось от идей субъ-
екта - носителя основополагающей информации, но никак не от ее суще-
ствования, приняв за факт «законы природы». Состояние науки в XIX в.
25
Основы информационной безопасности
давало основание полагать, что модель мира сведется к крайне ограни-
ченному комплекту частиц вещества и не менее ограниченному количе-
ству «законов». Носитель «закона» выводился из рассмотрения (анало-
гично «заряду» - он есть, существует по определению). В середине XX в.
развитие теории и практики заставило изменить подход. Теоретическая
физика пришла к осознанию несводимости модели мира к нескольким
простейшим законам. С другой стороны, развитие автоматических систем
уже в 50-е гг. привело к пониманию исключительной информационной
сложности даже простейших самоуправляемых систем. В конце концов
в советской школе материалистической философии сформировалось
представление об информации как некоей третьей (вместе с веществом
и энергией) форме проявления материального мира, отражающей измен-
чивость материи. Не углубляясь во внутрифилософские проблемы, вос-
пользуемся таким подходом, не очень отличающимся от подходов других
школ (не слишком экстремистских).
Становление кибернетики потребовало анализа с позиций точной
науки процессов в самоуправляющихся системах, анализа процессов
формирования модели внешнего мира, формирования знания. Возможно,
из-за естественной связи кибернетики с математической теорией инфор-
мации произошло распространение термина «информация» на прираще-
ние знания субъекта. По Винеру, «информация - это обозначение содер-
жания, черпаемого нами из внешнего мира в процессе нашего приспособ-
ления к нему и приведения в соответствие с ним нашего мышления» [12].
Таким образом, в сложившемся применении термина «информация»
можно выделить три направления. Основная мысль заключается в том,
что эти три направления соответствуют трем совершенно различным
сущностям, между которыми существует связь; в конкретных случаях
может быть установлено какое-то частное соотношение, но природа их
различна, и не может быть речи о какой-либо эквивалентности, взаимном
преобразовании или превращении.
То, что при описании этих сущностей, особенно в русскоязычной ре-
чи, применяется одно заимствованное, иноязычное слово - «информа-
ция», - весьма печальное обстоятельство, приводящее ко многим недора-
зумениям. Представляется, что, поскольку «информационная эпоха» дей-
ствительно наступает, назрела необходимость уточнить содержание
понятия «информация» и найти разные определения для различных сущ-
ностей.
Автор статьи [9] не претендует, по его признанию, на оригинальность
в постановке этого вопроса. По существу, именно на его решение были
направлены попытки создания «качественной», семантической и т. и.
26
Часть 1, Основы государственной информационной политики
теории информации, которые, несмотря на участие в них крупнейших
специалистов, пока не дали существенных завершенных результатов.
На решение этой проблемы - одной из центральных в понимании инфор-
мационных процессов - авторы также ни в коей мере не претендуют.
Ниже излагается только ряд соображений, направленных на более четкое
определение информации в задачах информационной безопасности.
Прежде всего, несколько уточним определения трех вышеупомяну-
тых предметов рассмотрения.
Информация «в философском смысле». Назовем ее автономной ин-
формацией. Автономная - в смысле объективно существующая, незави-
симо от какого-либо субъекта. Эта информация - особое проявление ма-
терии, противостоящее хаосу, - определяет процессы изменения матери-
ального мира, но в рамках представлений современной точной науки
непосредственно человеком не воспринимается.
Информация «по Винеру». Эго - приращение знания, изменение мо-
дели окружающего мира, возникающее в процессе взаимодействия само-
управляющейся системы с окружающей средой. Назовем ее информаци-
ей воздействия.
Самоуправляющаяся система - субъект - всегда включает в себя
в какой-то форме модель внешнего мира - «знание». Физические процес-
сы воздействия внешней среды на самоуправляющуюся систему могут
приводить к изменению модели - к приращению знания. Субъектом мо-
жет быть человек, коллектив, организация, государство, в пределе - все
человечество. Рассмотрение в качестве субъекта какого-либо искусствен-
ного устройства в принципе не исключается, но при существующем со-
стоянии работ в области искусственного интеллекта несколько прежде-
временно. Будем считать понятие «информация воздействия» как неко-
торую характеристику процесса формирования модели внешнего мира.
Информация воздействия не может быть определена через отдельно взя-
тые свойства внешней среды или физического процесса взаимодействия
внешней среды и субъекта или свойства модели. Для возникновения при-
ращения знания воздействие должно частично, но не исчерпывающе опи-
сываться существующей моделью, причем соответствующая область мо-
дели должна быть активизирована. В противном случае воздействие вос-
принимается без развития модели, т. е. оно может быть информативным
или неинформативным.
Информация воздействия - совокупная характеристика среды, про-
цесса взаимодействия, субъекта, статического и динамического состоя-
ния его модели мира.
Для любого другого субъекта - внешнего наблюдателя - оценка ин-
формации воздействия возможна только в виде гипотезы, подтверждае-
27
Основы информационной безопасности
мой или опровергаемой последующими действиями наблюдаемого субъ-
екта, испытавшего воздействие внешней среды.
Информация «по Хартли». Назовем ее информацией взаимодействия.
Частным случаем воздействия является воздействие другого субъек-
та, имеющее целью согласование в некотором смысле моделей внешней
среды двух субъектов или коллектива. При этом предполагается сущест-
вование предварительно согласованных областей моделей - соглашение
о языке общения. Отметим, что понятие «согласование моделей» не обя-
зательно подразумевает согласование целей субъектов. При их противо-
борстве «согласование» может иметь целью искажение модели внешней
среды у противника.
Отметим также, что процесс взаимодействия внутренне достаточно
сложен. Субъект, инициирующий воздействие, - передатчик - формирует
на основе некоторой области своей модели физический процесс - сооб-
щение. При этом привлекаемую часть модели субъекта-передатчика
можно было бы характеризовать «информацией передатчика», а сообще-
ние - «информацией сообщения». Сообщение, воздействуя с восприни-
мающего субъекта, может при условии его статической и динамической
готовности сформировать некоторую информацию воздействия - «ин-
формацию приемника». В этом процессе наблюдаемым элементом явля-
ется только сообщение и в этом смысле информация взаимодействия
совпадает с информацией сообщения. В данном контексте «взаимодейст-
вие» - более подходящий термин, так как в явном виде подразумевает
наличие нескольких участников процесса.
Таким образом:
автономная информация существует независимо от наличия субъ-
екта, в рамках современных представлений точной науки непосредст-
венно не воспринимается;
информация воздействия может рассматриваться только в системе,
включающей активного субъекта с учетом состояния его модели внеш-
него мира, другими субъектами непосредственно не воспринимается
сможет вероятностно оцениваться по предыдущему и последующе-
му поведению субъекта, испытывающего воздействие;
информация взаимодействия существует в системе нескольких
субъектов, связана с целенаправленно формируемым физическим про-
цессом и в этом виде полностью воспринимается.
В то же время сам процесс взаимодействия включает три составляю-
щие:
• информационную базу передатчика, определяемую как часть знания,
используемую при формировании сообщения;
28
Часть 1. Основы rocyaapciвенной информационной политики
• информацию сообщения, определяемую как соглашение о языке об-
щения, - собственно информацию взаимодействия;
• информацию приемника, определяемую как информацию воздейст-
вия воспринимающего субъекта.
Эти три компонента несводимы к одному качественному или количе-
ственному описанию.
Информационная база передатчика и информация приемника значи-
мы содержательно, но по содержанию неэквивалентны. При получении
сообщения группой приемников каждый из них воспринимает свою ин-
формацию воздействия, и эти информации приемников также неэквива-
лентны по содержанию.
Информация сообщения характеризует физический процесс в плане
соглашения о языке общения и может рассматриваться каждым субъек-
том, освоившим язык общения, изолированно от других субъектов-участ-
ников процесса общения и в отрыве от содержания.
Рассмотрим ситуацию с точки зрения информационной безопасности.
Выделим 4 компонента, в той или иной мере присутствующие во всех
подходах к понятию информационной безопасности:
• обеспечение для субъекта доступа к достаточно полной и достовер-
ной информации, необходимой для реализации его прав и обязанно-
стей в обществе;
• защиту субъекта от деструктивных информационных воздействий;
• защиту от несанкционированного воздействия на информацию, при-
надлежащую субъекту;
• защиту информационной инфраструктуры группы субъектов (орга-
низации, государства...) от разрушительных воздействий.
Первые три компонента связаны с безопасностью знаний, т. е. для
защищаемого объекта значима именно информация воздействия.
Основным предметом информационного нападения, целью, всегда
является информация воздействия, т. е. то, что воспринимает субъект-
нападающая сторона в случае попытки несанкционированного получения
информации или объект нападения в случае попытки дезинформации,
искажения информации, введения отвлекающей информации.
В то же время непосредственному наблюдению, использованию
в технической разработке, в юридической практике доступна только ин-
формация сообщений и физические действия субъектов.
Например, объектом защиты может быть только конкретный доку-
мент (в широком смысле) как физический объект, целями противодейст-
29
Основы информационной безопасности
вия - конкретные физические действия нападающего субъекта, прогно-
зируемые моделью нападения, но никак не получаемая или вводимая им
информация воздействия.
Таким образом, системная задача обеспечения информационной
безопасности, с одной стороны, и конкретные задачи технической, юри-
дической и других подсистем, с другой - имеют разные предметы дейст-
вий; именно поэтому система информационной безопасности есть
не простая сумма различных (правовых, организационных, технических)
компонентов, но качественно отличное явление. Существующее смеше-
ние понятий, объединение под одним термином «информация» различ-
ных предметов приводит либо к неоправданным попыткам оценивать со-
держательную сторону информационного процесса неадекватными мето-
дами, либо к самоограничению на уровне защиты исключительно
документированной информации. И то и другое в конце концов приводит
к нарушению защищенности объекта, создается объективная основа для
произвольного определения факта нападения и для неадекватных дейст-
вий защищающейся стороны.
Формирование системы, обеспечивающей информационную безо-
пасность объекта, требует обычно решения ряда задач, связанных с фор-
мализованной информацией - информацией взаимодействия в форме до-
кументов или обменных сигналов технических систем. В этих случаях
вполне применимы методы математической теории информации и удает-
ся сформировать весьма точные значения параметров, характеризующих
защищенность системы на уровне информации взаимодействия. Однако
для полной оценки защищенности эти параметры приходится сопостав-
лять с оценками для не поддающейся непосредственному доступу ин-
формации воздействия.
Например, можно достаточно достоверно оценить вероятность вос-
становления отдельного слова в перехваченном речевом сообщении (до-
пустим 5 или 12 %). После этого возникает вопрос, какая вероятность до-
пустима. Получить такую оценку можно только экспертным путем, по-
пытки и здесь применить методы математической теории информации
создают некоторое наукообразие, но, по сути, неэффективны, так как ре-
зультат полностью определяется исходными допущениями, формируе-
мыми фактически произвольно. Для различных ситуаций, различного со-
держания фраз, различного словарного состава экспертные оценки могут
дать результаты, отличающиеся на порядок.
Невозможно отрицать тот факт, что сегодня методы, техника, крите-
рии защиты информации в негосударственном секторе явно или неявно
заимствованы из многие годы существовавшей государственной систе-
мы. Не входя в рассмотрение вопроса, насколько юридически приемлемо
30
Часть 1. Основы государственной информационной политики
это было сделано, отметим, что по отношению к техническим проблемам
такое заимствование достаточно корректно - и законы физики, и методы
математической теории информации инвариантны по отношению к фор-
мам собственности. В то же время по отношению к содержательной сто-
роне информационных процессов такая экстраполяция ничем не обосно-
вана.
Представляется, что назрела необходимость разработки корпоратив-
ных нормативов защищенности содержательной информации, соответст-
вующих информационной специфике конкретных групп защищаемых
объектов и конкретным информационным процессам, характерным для
этих объектов. Одновременно необходима постановка задачи научного
формирования перечня терминов, охватывающего не столько приклад-
ные, сколько фундаментальные понятия в области информационных про-
цессов.
Наконец, несколько слов о проблемах информационной защиты при-
менительно к автономной информации. Научного обоснования возмож-
ности ее непосредственного восприятия нет. Нет и обоснования невоз-
можности. Нет и обоснованной оценки граничной сложности объектов,
поведение которых определяется автономной информацией. Представле-
ние о высокой степени детерминированности поведения микрочастицы
и недетерминированности поведения на человеческом уровне, строго го-
воря, ничем, кроме естественного антропоцентризма, обосновать нельзя.
В реальной же действительности при защите ответственного объекта
проблему игнорировать невозможно, хотя все понимают сопровождаю-
щую ее бездну спекуляций и шарлатанства.
Современный этап развития общества характеризуется возрастающей
ролью информационной сферы. Информационная сфера представляет со-
бой совокупность информации, информационной инфраструктуры, субъ-
ектов, осуществляющих сбор, формирование, распространение и исполь-
зование информации, а также системы регулирования возникающих при
этом общественных отношений [13].
Информационная сфера, являясь системообразующим фактором жиз-
ни общества, активно влияет на состояние политической, экономической,
оборонной и других составляющих безопасности РФ. Национальная
безопасность РФ существенным образом зависит от обеспечения инфор-
мационной безопасности, и в ходе технического прогресса эта зависи-
мость будет возрастать [13].
Под информационной безопасностью РФ понимается состояние за-
щищенности ее национальных интересов в информационной сфере, оп-
ределяющихся совокупностью сбалансированных интересов личности,
общества и государства [13].
31
Основы информационной безопасности
Государственная политика обеспечения информационной безопасно-
сти РФ основывается на следующих основных принципах [13]:
• соблюдении Конституции РФ, законодательства РФ, общепризнан-
ных принципов и норм международного права при осуществлении
деятельности по обеспечению информационной безопасности РФ;
• открытости в реализации функций федеральных органов государст-
венной власти, органов государственной власти субъектов РФ и об-
щественных объединений, предусматривающей информирование
общества об их деятельности с учетом ограничений, установленных
законодательством РФ;
• правовом равенстве всех участников процесса информационного
взаимодействия вне зависимости от их политического, социального
и экономического статуса, основывающемся на конституционном
праве граждан на свободный поиск, получение, передачу, производ-
ство и распространение информации любым законным способом;
• приоритетном развитии отечественных современных информацион-
ных и телекоммуникационных технологий, производстве техниче-
ских и программных средств, способных обеспечить совершенство-
вание национальных телекоммуникационных сетей, их подключение
к глобальным информационным сетям в целях соблюдения жизненно
важных интересов РФ.
2.2. Национальные интересы в информационной сфере
Доктрина информационной безопасности РФ дает две классификации
национальных интересов в информационной сфере:
• первую классификацию можно назвать классификацией по принад-
лежности интересов;
• вторую классификацию можно назвать классификацией по важности
интересов.
В соответствии с первой классификацией национальные интересы -
это совокупность интересов личности, интересов общества и интересов
государства (рис. 1.1-1.4).
Интересы личности Национальные интересы
Интересы общества
Интересы государства
Рис. 1.1. Состав национальных интересов
32
Часть I. Основы государственной информационной политики
Интересы личности
• Реализация конституционных прав на доступ к информации.
• Использование информации в интересах осуществления не запрещенной
законом деятельности.
• Физическое, духовное и интеллектуальное развитие.
• Защита информации, обеспечивающей личную безопасность.
Рис. 1.2. Содержание интересов личности в информационной сфере
Интересы общества
• Обеспечение интересов личности в информационной сфере.
• Упрочение демократии, создание правового, социального государства.
• Достижение и поддержание общественного согласия.
• Духовное обновление России.
Рис. 1.3. Содержание интересов общества в информационной сфере
Интересы государства
• Гармоничное развитие российской информационной инфраструктуры.
• Реализация конституционных прав человека и гражданина в области
получения информации и пользования ею.
• Незыблемость конституционного строя, суверенитета и территори-
альной целостности России.
• Политическая, экономическая и социальная стабильность.
• Безусловное обеспечение законности и поддержание правопорядка.
• Развитие равноправного и взаимовыгодного международного сотрудни-
чества.
Рис. 1.4. Содержание интересов государства в информационной сфере
Вторая классификация национальных интересов в информационной
сфере связана, видимо, с оценкой важности этих национальных интере-
сов и выделение изо всей их совокупности четырех наиболее важных.
Соответственно в рамках этой классификации выделяют четыре основные
составляющие национальных интересов РФ в информационной сфере [13].
1 . Соблюдение конституционных прав и свобод человека и гражда-
нина в области получения информации и пользования ею, обеспечение
духовного обновления России, сохранение и укрепление нравственных
ценностей общества, традиций патриотизма и гуманизма, культурного
и научного потенциала страны.
33
Основы информационной безопасности
2 . Информационное обеспечение государственной политики РФ, свя-
занное с доведением до российской и международной общественности
достоверной информации о государственной политике РФ, ее официаль-
ной позиции по социально значимым событиям российской и междуна-
родной жизни, с обеспечением доступа граждан к открытым государст-
венным информационным ресурсам.
3 . Развитие современных информационных технологий, отечествен-
ной индустрии информации, в том числе индустрии средств информати-
зации, телекоммуникации и связи, обеспечение потребностей внутренне-
го рынка ее продукцией и выход этой продукции на мировой рынок,
а также обеспечение накопления, сохранности и эффективного использо-
вания отечественных информационных ресурсов. В современных услови-
ях только на этой основе можно решать проблемы создания наукоемких
технологий, технологического перевооружения промышленности, при-
умножения достижений отечественной науки и техники. Россия должна
занять достойное место среди мировых лидеров микроэлектронной
и компьютерной промышленности.
4 . Защита информационных ресурсов от несанкционированного дос-
тупа, обеспечение безопасности информационных и телекоммуникаци-
онных систем, как уже развернутых, так и создаваемых на территории
России.
Первая составляющая национальных интересов РФ в информацион-
ной сфере (соблюдение конституционных прав и свобод человека и граж-
данина в области получения информации и пользования ею, обеспечение
духовного обновления России, сохранение и укрепление нравственных
ценностей общества, традиций патриотизма и гуманизма, культурного
и научного потенциала страны) предполагает [13]:
• повышение эффективности использования информационной инфра-
структуры в интересах общественного развития, консолидацию рос-
сийского общества, духовное возрождение многонационального на-
рода РФ;
• совершенствование системы формирования, сохранения и рацио-
нального использования информационных ресурсов, составляющих
основу научно-технического и духовного потенциала РФ;
• обеспечение конституционных прав и свобод человека и гражданина
свободно искать, получать, передавать, производить и распростра-
нять информацию любым законным способом, получать достовер-
ную информацию о состоянии окружающей среды;
34
Часть 1. Основы государственной информационной политики
• обеспечение конституционных прав и свобод человека и гражданина
на личную и семейную тайну, тайну переписки, телефонных перего-
воров, почтовых, телеграфных и иных сообщений, на защиту своей
чести и своего доброго имени;
• укрепление механизмов правового регулирования отношений в об-
ласти охраны интеллектуальной собственности, создание условий
для соблюдения установленных федеральным законодательством ог-
раничений на доступ к конфиденциальной информации;
• обеспечение свободы массовой информации и запрет цензуры;
• недопущение пропаганды и агитации, которые способствуют разжи-
ганию социальной, расовой, национальной или религиозной ненавис-
ти и вражды;
• запрет на сбор, хранение, использование и распространение инфор-
мации о частной жизни лица без его согласия и другой информации,
доступ к которой ограничен федеральным законодательством.
Вторая составляющая национальных интересов РФ в информацион-
ной сфере (информационное обеспечение государственной политики РФ)
предполагает [13]:
• укрепление государственных СМИ, расширение их возможности по
своевременному доведению достоверной информации до российских
и иностранных граждан;
• ускоренное формирование открытых государственных информаци-
онных ресурсов, повышение эффективности их использования.
Третья составляющая национальных интересов РФ в информацион-
ной сфере (развитие современных информационных технологий, отече-
ственной индустрии информации) предполагает [13]:
• развитие и совершенствование инфраструктуры единого информаци-
онного пространства РФ;
• развитие отечественной индустрии информационных услуг и повы-
шение эффективности использования государственных информаци-
онных ресурсов;
• развитие производства в РФ конкурентоспособных средств и систем
информатизации, телекоммуникации и связи, расширение участия
России в международной кооперации производителей этих средств
и систем;
35
Основы информационной безопасности
• обеспечение государственной поддержки отечественных фундамен-
тальных и прикладных исследований, разработок в сферах информа-
тизации, телекоммуникации и связи.
Четвертая составляющая национальных интересов РФ в информаци-
онной сфере (защита информационных ресурсов от несанкционированно-
го доступа, обеспечение безопасности информационных и телекоммуни-
кационных систем) предполагает [13]:
• повышение безопасности информационных систем, включая сети
связи, прежде всего безопасность первичных сетей связи и ИС феде-
ральных органов государственной власти, органов государственной
власти субъектов РФ, финансово-кредитной и банковской сфер, сфе-
ры хозяйственной деятельности, а также систем и средств информа-
тизации вооружения и военной техники, систем управления войска-
ми и оружием, экологически опасными и экономически важными
производствами;
• ускоренное развитие отечественного производства аппаратных и про-
граммных средств защиты информации и методов контроля за их эф-
фективностью;
• обеспечение защиты сведений, составляющих государственную тайну;
• расширение международного сотрудничества РФ в области развития
и безопасного использования информационных ресурсов, противодей-
ствия угрозе развязывания противоборства в информационной сфере.
2.3. Источники и содержание угроз в информационной
сфере
По своей общей направленности угрозы информационной безопасно-
сти РФ подразделяются на следующие виды [13]:
• угрозы конституционным правам и свободам человека и гражданина
в области духовной жизни и информационной деятельности, индиви-
дуальному, групповому и общественному сознанию, духовному воз-
рождению России;
• угрозы информационному обеспечению государственной политики РФ;
• угрозы развитию отечественной индустрии информации, включая
индустрию средств информатизации, телекоммуникации и связи,
обеспечению потребностей внутреннего рынка в ее продукции и вы-
ходу этой продукции на мировой рынок, а также обеспечению нако-
пления, сохранности и эффективного использования отечественных
информационных ресурсов;
36
Часть 1. Основы государственной информационной политики
• угрозы безопасности информационных и телекоммуникационных
средств и систем, как уже развернутых, так и создаваемых на терри-
тории России.
Угрозами конституционным правам и свободам человека и гражда-
нина в области духовной жизни и информационной деятельности, инди-
видуальному, групповому и общественному сознанию, духовному воз-
рождению России могут являться:
• принятие федеральными органами государственной власти, органами
государственной власти субъектов РФ нормативных правовых актов,
ущемляющих конституционные права и свободы граждан в области
духовной жизни и информационной деятельности;
• создание монополий на формирование, получение и распространение
информации в РФ, в том числе с использованием телекоммуникаци-
онных систем;
• противодействие, в том числе со стороны криминальных структур,
реализации гражданами своих конституционных прав на личную
и семейную тайну, тайну переписки, телефонных переговоров и иных
сообщений;
• нерациональное, чрезмерное ограничение доступа к общественно
необходимой информации;
• противоправное применение специальных средств воздействия
на индивидуальное, групповое и общественное сознание;
• неисполнение федеральными органами государственной власти, ор-
ганами государственной власти субъектов РФ, органами местного
самоуправления, организациями и гражданами требований феде-
рального законодательства, регулирующего отношения в информа-
ционной сфере;
• неправомерное ограничение доступа граждан к открытым информа-
ционным ресурсам федеральных органов государственной власти,
органов государственной власти субъектов РФ, органов местного са-
моуправления, к открытым архивным материалам, к другой открытой
социально значимой информации;
• дезорганизация и разрушение системы накопления и сохранения
культурных ценностей, включая архивы;
• нарушение конституционных прав и свобод человека и гражданина
в области массовой информации;
37
Основы информационной безопасности
• вытеснение российских информационных агентств, средств массовой
информации с внутреннего информационного рынка и усиление за-
висимости духовной, экономической и политической сфер общест-
венной жизни России от зарубежных информационных структур;
• девальвация духовных ценностей, пропаганда образцов массовой
культуры, основанных на культе насилия, на духовных и нравствен-
ных ценностях, противоречащих ценностям, принятым в российском
обществе;
• снижение духовного, нравственного и творческого потенциала насе-
ления России, что существенно осложнит подготовку трудовых ре-
сурсов для внедрения и использования новейших технологий, в том
числе информационных;
• манипулирование информацией (дезинформация, сокрытие или ис-
кажение информации).
Угрозами информационному обеспечению государственной полити-
ки РФ могут являться [13]:
• монополизация информационного рынка России, его отдельных сек-
торов отечественными и зарубежными информационными структу-
рами;
• блокирование деятельности государственных средств массовой ин-
формации по информированию российской и зарубежной аудитории;
• низкая эффективность информационного обеспечения государствен-
ной политики РФ вследствие дефицита квалифицированных кадров,
отсутствия системы формирования и реализации государственной
информационной политики.
Угрозами развитию отечественной индустрии информации, включая
индустрию средств информатизации, телекоммуникации и связи, обеспе-
чению потребностей внутреннего рынка в ее продукции и выходу этой
продукции на мировой рынок, а также обеспечению накопления, сохран-
ности и эффективного использования отечественных информационных
ресурсов могут являться [13]:
• противодействие доступу РФ к новейшим информационным техно-
логиям, взаимовыгодному и равноправному участию российских
производителей в мировом разделении труда в индустрии информа-
ционных услуг, средств информатизации, телекоммуникации и связи,
информационных продуктов, а также создание условий для усиления
технологической зависимости России в области современных инфор-
мационных технологий;
38
Часть 1. Основы государственной информационной политики
• закупка органами государственной власти импортных средств ин-
форматизации, телекоммуникации и связи при наличии отечествен-
ных аналогов, не уступающих по своим характеристикам зарубеж-
ным образцам;
• вытеснение с отечественного рынка российских производителей средств
информатизации, телекоммуникации и связи;
• увеличение оттока за рубеж специалистов и правообладателей ин-
теллектуальной собственности.
Угрозами безопасности информационных и телекоммуникационных
средств и систем, как уже развернутых, так и создаваемых на территории
России, могут являться [13]:
• противоправные сбор и использование информации;
• нарушения технологии обработки информации;
• внедрение в аппаратные и программные изделия компонентов, реа-
лизующих функции, не предусмотренные документацией на эти из-
делия;
• разработка и распространение программ, нарушающих нормальное
функционирование информационных и информационно-телекомму-
никационных систем, в том числе систем защиты информации;
• уничтожение, повреждение, радиоэлектронное подавление или раз-
рушение средств и систем обработки информации, телекоммуника-
ции и связи;
• воздействие на парольно-ключевые системы защиты автоматизиро-
ванных систем обработки и передачи информации;
• компрометация ключей и средств криптографической защиты ин-
формации;
• утечка информации по техническим каналам;
• внедрение электронных устройств для перехвата информации в тех-
нические средства обработки, хранения и передачи информации
по каналам связи, а также в служебные помещения органов государ-
ственной власти, предприятий, учреждений и организаций независи-
мо от формы собственности;
• уничтожение, повреждение, разрушение или хищение машинных
и других носителей информации;
• перехват информации в сетях передачи данных и на линиях связи,
дешифрование этой информации и навязывание ложной информации;
39
Основы информационной безопасности
• использование несертифицированных отечественных и зарубежных
информационных технологий, средств защиты информации, средств
информатизации, телекоммуникации и связи при создании и разви-
тии российской информационной инфраструктуры;
• несанкционированный доступ к информации, находящейся в банках
и базах данных;
• нарушение законных ограничений на распространение информации.
Источники угроз информационной безопасности РФ подразделяются
на внешние и внутренние. К внешним источникам относятся [13]:
• деятельность иностранных политических, экономических, военных,
разведывательных и информационных структур, направленная про-
тив интересов РФ в информационной сфере;
• стремление ряда стран к доминированию и ущемлению интересов
России в мировом информационном пространстве, вытеснению ее
с внешнего и внутреннего информационных рынков;
• обострение международной конкуренции за обладание информаци-
онными технологиями и ресурсами;
• деятельность международных террористических организаций;
• увеличение технологического отрыва ведущих держав мира и нара-
щивание их возможностей по противодействию созданию конкурен-
тоспособных российских информационных технологий;
• деятельность космических, воздушных, морских и наземных техни-
ческих и иных средств (видов) разведки иностранных государств;
• разработка рядом государств концепций информационных войн, пре-
дусматривающих создание средств опасного воздействия на инфор-
мационные сферы других стран мира, нарушение нормального функ-
ционирования информационных и телекоммуникационных систем,
сохранности информационных ресурсов, получение несанкциониро-
ванного доступа к ним.
К внутренним источникам относятся [13]:
• критическое состояние отечественных отраслей промышленности;
• неблагоприятная криминогенная обстановка, сопровождающаяся
тенденциями сращивания государственных и криминальных струк-
тур в информационной сфере, получения криминальными структу-
рами доступа к конфиденциальной информации, усиления влияния
организованной преступности на жизнь общества, снижения степени
Я
Часть ]. Основы государственной информационной политики
защищенности законных интересов граждан, общества и государства
в информационной сфере;
• недостаточная координация деятельности федеральных органов го-
сударственной власти, органов государственной власти субъектов РФ
по формированию и реализации единой государственной политики
в области обеспечения информационной безопасности РФ;
• недостаточная разработанность нормативной правовой базы, регули-
рующей отношения в информационной сфере, а также недостаточная
правоприменительная практика;
• неразвитость институтов гражданского общества и недостаточный
государственный контроль за развитием информационного рынка
России;
• недостаточное финансирование мероприятий по обеспечению ин-
формационной безопасности РФ;
• недостаточная экономическая мощь государства;
• снижение эффективности системы образования и воспитания, недос-
таточное количество квалифицированных кадров в области обеспе-
чения информационной безопасности;
• недостаточная активность федеральных органов государственной
власти, органов государственной власти субъектов РФ в информиро-
вании общества о своей деятельности, в разъяснении принимаемых
решений, в формировании открытых государственных ресурсов
и развитии системы доступа к ним граждан;
• отставание России от ведущих стран мира по уровню информатиза-
ции федеральных органов государственной власти, органов государ-
ственной власти субъектов РФ и органов местного самоуправления,
кредитно-финансовой сферы, промышленности, сельского хозяйства,
образования, здравоохранения, сферы услуг и быта граждан.
3. Государственная информационная политика
3.1. Основные положения государственной
информационной политики Российской Федерации
Государственная политика обеспечения информационной безопасно-
сти РФ определяет основные направления деятельности федеральных ор-
ганов государственной власти и органов государственной власти субьек-
41
Основы информационной безопасности
тов РФ в этой области, порядок закрепления их обязанностей по защите
интересов РФ в информационной сфере в рамках направлений их дея-
тельности и базируется на соблюдении баланса интересов личности, об-
щества и государства в информационной сфере.
Государственная политика обеспечения информационной безопасно-
сти РФ основывается на принципах, приведенных в п. 2.1.
Государство в процессе реализации своих функций по обеспечению
информационной безопасности РФ [13]:
• проводит объективный и всесторонний анализ и прогнозирование уг-
роз информационной безопасности РФ, разрабатывает меры по ее
обеспечению;
• организует работу законодательных (представительных) и исполни-
тельных органов государственной власти РФ по реализации ком-
плекса мер, направленных на предотвращение, отражение и нейтра-
лизацию угроз информационной безопасности РФ;
• поддерживает деятельность общественных объединений, направлен-
ную на объективное информирование населения о социально значи-
мых явлениях общественной жизни, защиту общества от искаженной
и недостоверной информации;
• осуществляет контроль за разработкой, созданием, развитием, ис-
пользованием, экспортом и импортом средств защиты информации
посредством их сертификации и лицензирования деятельности в об-
ласти защиты информации;
• проводит необходимую протекционистскую политику в отношении
производителей средств информатизации и защиты информации
на территории РФ и принимает меры по защите внутреннего рынка
от проникновения на него некачественных средств информатизации
и информационных продуктов;
• способствует предоставлению физическим и юридическим лицам
доступа к мировым информационным ресурсам, глобальным инфор-
мационным сетям;
• формулирует и реализует государственную информационную поли-
тику России;
• организует разработку федеральной программы обеспечения инфор-
мационной безопасности РФ, объединяющей усилия государствен-
ных и негосударственных организаций в данной области;
• способствует интернационализации глобальных информационных
сетей и систем, а также вхождению России в мировое информацион-
ное сообщество на условиях равноправного партнерства.
42
Часть I. Основы государственной информационной политики
Совершенствование правовых механизмов регулирования общест-
венных отношений, возникающих в информационной сфере, является
приоритетным направлением государственной политики в области обес-
печения информационной безопасности РФ.
Это предполагает:
• оценку эффективности применения действующих законодательных
и иных нормативных правовых актов в информационной сфере и вы-
работку программы их совершенствования;
• создание организационно-правовых механизмов обеспечения инфор-
мационной безопасности;
• определение правового статуса всех субъектов отношений в инфор-
мационной сфере, включая пользователей информационных и теле-
коммуникационных систем, и установление их ответственности
за соблюдение законодательства РФ в данной сфере;
• создание системы сбора и анализа данных об источниках угроз ин-
формационной безопасности РФ, а также о последствиях их осуще-
ствления;
• разработку нормативных правовых актов, определяющих организа-
цию следствия и процедуру судебного разбирательства по фактам
противоправных действий в информационной сфере, а также порядок
ликвидации последствий этих противоправных действий;
• разработку составов правонарушений с учетом специфики уголов-
ной, гражданской, административной, дисциплинарной ответствен-
ности и включение соответствующих правовых норм в уголовный,
гражданский, административный и трудовой кодексы, в законода-
тельство РФ о государственной службе;
• совершенствование системы подготовки кадров, используемых в об-
ласти обеспечения информационной безопасности РФ.
Правовое обеспечение информационной безопасности РФ должно ба-
зироваться прежде всего на соблюдении принципов законности, баланса
интересов граждан, общества и государства в информационной сфере.
Соблюдение принципа законности требует от федеральных органов
государственной власти и органов государственной власти субъектов РФ
при решении возникающих в информационной сфере конфликтов не-
укоснительно руководствоваться законодательными и иными норматив-
ными правовыми актами, регулирующими отношения в этой сфере.
Соблюдение принципа баланса интересов граждан, общества и госу-
дарства в информационной сфере предполагает законодательное закреп-
43
Основы информационной безопасности
ление приоритета этих интересов в различных областях жизнедеятельно-
сти общества, а также использование форм общественного контроля дея-
тельности федеральных органов государственной власти и органов госу-
дарственной власти субъектов РФ. Реализация гарантий конституцион-
ных прав и свобод человека и гражданина, касающихся деятельности
в информационной сфере, является важнейшей задачей государства в об-
ласти информационной безопасности.
Разработка механизмов правового обеспечения информационной
безопасности РФ включает в себя мероприятия по информатизации пра-
вовой сферы в целом.
В целях выявления и согласования интересов федеральных органов
государственной власти, органов государственной власти субъектов РФ
и других субъектов отношений в информационной сфере, выработки не-
обходимых решений государство поддерживает формирование общест-
венных советов, комитетов и комиссий с широким представительством
общественных объединений и содействует организации их эффективной
работы.
3.2. Первоочередные мероприятия по реализации
государственной политики обеспечения
информационной безопасности
Первоочередными мероприятиями по реализации государственной
политики обеспечения информационной безопасности РФ являются [13]:
• разработка и внедрение механизмов реализации правовых норм, ре-
гулирующих отношения в информационной сфере, а также подготовка
концепции правового обеспечения информационной безопасности РФ;
• разработка и реализация механизмов повышения эффективности го-
сударственного руководства деятельностью государственных средств
массовой информации, осуществления государственной информаци-
онной политики;
• принятие и реализация федеральных программ, предусматривающих
формирование общедоступных архивов информационных ресурсов
федеральных органов государственной власти и органов государст-
венной власти субъектов РФ, повышение правовой культуры и ком-
пьютерной грамотности граждан, развитие инфраструктуры единого
информационного пространства России, комплексное противодейст-
вие угрозам информационной войны, создание безопасных информа-
ционных технологий для систем, используемых в процессе реализа-
ции жизненно важных функций общества и государства, пресечение
44
Чек 11. I ( Mk'ik.i i i.ij.k rneikfori irikjop' piinfoiinen политики
компьютерной преступности, создание информационно-телекомму-
никационной системы специального назначения в интересах феде-
ральных органов государственной власти и органов государственной
власти субъектов РФ, обеспечение технологической независимости
страны в области создания и эксплуатации информационно-телеком-
муникационных систем оборонного назначения;
• развитие системы подготовки кадров, используемых в области обес-
печения информационной безопасности РФ;
• гармонизация отечественных стандартов в области информатизации
и обеспечения информационной безопасности автоматизированных
систем управления, информационных и телекоммуникационных сис-
тем общего и специального назначения.
4. Информация - наиболее ценный ресурс
современного общества
4.1. Понятие «информационный ресурс»
Материал данного раздела основан на источнике [14]. Несмотря на
все более широкое использование понятия «информационный ресурс»,
в настоящее время отсутствует его общепринятое определение, что дела-
ет проблематичным разработку эффективной политики любого уровня
(международного, национального, регионального, республиканского
и отраслевого) по созданию информационных ресурсов и их промыш-
ленной эксплуатации в интересах науки, техники, производства и
управления.
Прежде всего необходимо обратить внимание на то, что понятие
«информационный ресурс» возникло не в процессе переосмысления роли
информации во всех видах общественной деятельности, как утверждают
многие, а в результате внедрения в исследования по созданию и интегра-
ции информационных служб программно-целевого подхода.
Ресурсами называют элементы экономического потенциала, которы-
ми располагает общество и которые, при необходимости, могут быть ис-
пользованы для достижения конкретных целей хозяйственного и соци-
ального развития [15].
В рамках программно-целевого подхода информация рассматривает-
ся как один из видов ресурсов при реализации целевых программ наряду
с рабочей силой, материалами, оборудованием, энергией, денежными
средствами и т. д.
45
Основы информационной безопасности
Это означает, что информация стала рассматриваться как один из ви-
дов ресурсов, потребляемых в общественной практике.
Но включение информации в состав ресурсов не снимает неопреде-
ленности термина «информационный ресурс», поскольку нет однознач-
ного подхода к тому, какую информацию считать ресурсом, а какую
не считать. Анализ определений, приведенных в различных источниках,
показывает, что в состав информационных ресурсов включается либо вся
(любая) информация, либо ее подмножества, для выделения которых раз-
ные авторы используют различные, несовместимые друг с другом крите-
рии, например: классы информации, и/или виды документов, и/или виды
носителей (способы фиксации), и/или организационные структуры, и/или
возможность обработки на различных технических средствах и др.
Информация в контексте данного раздела может трактоваться как
знание, включенное непосредственно в коммуникативный процесс.
Исходным моментом включения информации в сферу обращения по
различным социальным каналам является ее фиксация на тех или иных
видах носителей - документирование (закрепление на тех или иных ма-
териальных носителях), ибо только в этом случае она может быть пере-
дана между пользователями и процессами, распределенными во времени
и пространстве.
С момента фиксации знания на том или ином носителе оно становит-
ся информацией, и только эта информация может рассматриваться как
информационный ресурс.
Каждый новый тип носителя информации порождает свой класс ин-
формационных ресурсов, характеризуемый своим множеством свойств,
связанных с фиксацией, воспроизводством, доступом, восприятием и про-
цессами обработки зафиксированной на носителе информации, а также
реализацией процессов передачи информации во времени.
Обобщая изложенное, предлагается под информационными ресурса-
ми понимать всю накопленную информацию об окружающей нас дейст-
вительности, зафиксированную на материальных носителях и в любой
другой форме, обеспечивающей ее передачу во времени и пространстве
между различными потребителями для решения научных, производст-
венных, управленческих и других задач.
Особо следует выделить положение о том, что ресурсом является вся
накопленная информация, в том числе и информация недостоверная
(«дефектологическая»), представленная сомнительными фактами, лож-
ными положениями, неэффективными подходами, а также устаревшая
информация; несопоставимые данные, накопленные по нестандартным
методикам; информация, потерявшая конкретность в результате субъек-
тивных толкований в процессе частных «теоретических» построений; за-
46
Часть 1. Основы государственной информационной политики
ведомая «дезинформация», поступившая в информационные потоки, и
сбалансированная информация.
Только такой подход к определению информационных ресурсов соз-
дает предпосылки для выявления противоречивых данных, исключаются
случаи пропуска «неудобной» информации и сложных ситуаций (под
сложной ситуацией понимается информация о «необычном», «невозмож-
ном» использовании известных средств и методов, «принципиально не-
возможных» явлениях и действиях, т. е. всего того, что не укладывается
в тезаурус отдельного исполнителя и/или целого коллектива исполнителей).
Учет фактора «дезинформирования» (возможности поступления
к пользователю недостоверной и устаревшей информации) требует
включения в процессы информационной деятельности специальных про-
цедур оценки информации на достоверность. Без выявления недостовер-
ной и устаревшей информации, накапливаемой в информационных ре-
сурсах, создаются предпосылки принятия неэффективных, а в ряде слу-
чаев и ошибочных решений, наносящих существенный ущерб.
В то же время следует подчеркнуть, что недостоверная и устаревшая
информация не должна уничтожаться. Она должна локализовываться,
обособляться и на ее основе необходимо строить системные фильтры для
контроля информационных ресурсов любого уровня (организаций, объ-
единений, национальных и международных). При этом сама недостовер-
ная информация должна непрерывно переоцениваться, уточняться и од-
новременно должны подвергаться переоценке решения, принятые ранее
на основании такой информации.
Сбор всей информации и требование сохранности «дефектной», ус-
таревшей информации лежит в основе деятельности наиболее эффектив-
ных информационных систем и является важным методологическим
принципом их построения.
С другой стороны, когда мы говорим о том, что информационный ре-
сурс - это вся информация, то имеется в виду мировой информационный
ресурс, полнота и эффективность использования которого в настоящее
время недостаточна и определяется уровнем достигнутого баланса со-
глашений на международной (через ООН), региональной, двух- и много-
сторонней основе между различными источниками и пользователями
информационных ресурсов.
В реальной деятельности каждая из сторон обладает своим подмно-
жеством информации, ограниченным по проблемам, полноте, качеству
и актуальности для решения стоящих перед ней задач. Оно определяется
как информационный ресурс конкретного пользователя (отдельного лица,
группы лиц, предприятия, объединения, ведомства, региона, государства
ит. д.).
47
Основы информационной безопасности
В зависимости от носителей информация информационные ресурсы
предлагается разделить на 5 основных классов:
• документы всех видов, на любых видах носителей (в том числе все
виды машиночитаемых носителей, используемых в вычислительной
технике и технике средств связи);
• персонал (память людей), обладающий знаниями и квалификацией
в различных областях науки и техники;
• организационные единицы - научные, производственные, управлен-
ческие и другие организации, располагающие кадровыми, техниче-
скими, производственными, финансовыми и прочими возможностя-
ми для решения определенного круга проблем и задач;
• промышленные образцы (любые материальные объекты, созданные
в процессе производства), рецептуры и технологии, программные
продукты, которые являются овеществленным результатом научной
и производственной деятельности людей;
• научный инструментарий (в том числе автоматизированные системы
научных исследований, автоматизированные рабочие места научных
работников и проектировщиков, экспертные системы и базы знаний).
При этом следует обратить особое внимание на то, что одна и та же
информация, относящаяся к той или иной проблеме, может быть зафик-
сирована на различных носителях и/или различные информационные
фрагменты одной и той же проблемы могут быть зафиксированы таким
образом, что правильное восприятие информации становится невозмож-
ным, если отсутствует доступ ко всем информационным фрагментам,
представленным на различных носителях.
Поэтому целостность информационных ресурсов обеспечивается
в том и только том случае, если потребитель (пользователь) имеет доступ
ко всем классам носителей, на которых зафиксирована информация,
необходимая для решения стоящих перед ним задач.
Создание национальных информационных ресурсов невозможно
(особенно в условиях динамически изменяющихся задач) без изучения
и учета всей структуры связей между различными классами информаци-
онных ресурсов. Поэтому одной из важнейших задач построения эффек-
тивной информационной системы является создания в структуре доку-
ментальных информационных ресурсов машиночитаемого регистра, ко-
торый должен обеспечить координацию Использования информационных
ресурсов организаций, фирм и государственных учреждений, работаю-
щих в различных областях.
М
Часть I. Основы государственной информационной политики
4.2. Классы информационных ресурсов
Информационные ресурсы - это вся накопленная информация об ок-
ружающей нас действительности, зафиксированная на материальных но-
сителях и в любой другой форме, обеспечивающей ее передачу во време-
ни и пространстве между различными потребителями для решения науч-
ных, производственных, управленческих и других задач.
Каждый новый тип носителя информации порождает свой класс ин-
формационных ресурсов, характеризуемый своим множеством свойств,
связанных с фиксацией, воспроизводством, доступом, восприятием и
процессами обработки зафиксированной на носителе информации, а так-
же реализацией процессов передачи информации во времени.
Свойства носителя существенным образом влияют на место каждого
класса информационных ресурсов в процессах материальной и духовной
деятельности людей и общества в целом.
В зависимости от носителей информации информационные ресурсы
предлагается разделить на следующие основные классы.
1. Документы.
2. Персонал (память людей).
3. Организационные единицы.
4. Промышленные образцы, рецептуры и технологии, конструкцион-
ные материалы, программные продукты, технические системы (объ-
екты).
5. Научный инструментарий.
Следует обратить внимание на то, что принятое в федеральном зако-
не понятие информационных ресурсов значительно уже и включает толь-
ко документы: «информационные ресурсы - отдельные документы и от-
дельные массивы документов, документы и массивы документов в ин-
формационных системах (библиотеках, архивах, банках данных, других
видах информационных систем)». (Федеральный закон от 04.07.1996 г.
№ 85-ФЗ «Об участии в международном информационном обмене. Ст. 2).
Эго же определение используется в Законе «Об информации, информати-
зации и защите информации».
Для обоснования принятого подхода к определению информационно-
го ресурса сделаем следующие разъяснения, показывающие ограничен-
ность и неполноту определения, используемого в законодательных доку-
ментах.
1. Одна и та же информация, относящаяся к той или иной проблеме,
может быть зафиксирована на различных носителях, и/или различ-
40
Основы информационной безопасности
ные информационные фрагменты одной и той же проблемы могут
быть зафиксированы таким образом, что правильное восприятие ин-
формации становится невозможным, если отсутствует доступ ко всем
информационным фрагментам, представленным на различных носи-
телях. Поэтому целостность информационных ресурсов обеспечива-
ется в том и только том случае, если потребитель (пользователь)
имеет доступ ко всем классам носителей, на которых зафиксирована
информация, необходимая для решения стоящих перед ним задач.
2. Сужение понятия информационных ресурсов до класса документов
исключает из рассмотрения значительные объемы информации, за-
фиксированные на иных классах носителей. Но каждый класс ин-
формационных ресурсов - это еще и иные способы взаимодействия
с информационными ресурсами, способы их создания, регистрации,
сбора, сохранения, взаимодействия с ними и, следовательно, иные
способы управления информационными технологиями, а также иная
правовая база, определяющая их использование.
3. Разрыв информационных связей между выделенными классами ин-
формационных ресурсов порождает разрывы в информационных
процессах и технологиях. Это, в свою очередь, ведет к потере цело-
стности восприятия окружающей действительности, резкому сниже-
нию качества информации и результативности при принятии ин-
формационных решений.
4. Создаются предпосылки к безвозвратной утрате важнейшей инфор-
мации, которая не может быть содержательно осмыслена только
на основе документальных информационных ресурсов. Учет только
документальных информационных ресурсов может привести к пол-
ной утрате конкретной проблемной информации.
5. Нарушение целостности понимания информационных ресурсов соз-
дает предпосылки к нарушению информационной безопасности.
Учитывая, что предлагаемый подход к определению информацион-
ных ресурсов существенно отличается от определения, принятого в зако-
нодательстве, ниже приводится перечень прецедентов, свидетельствую-
щих о неполноте законодательного определения.
Приводимый ниже перечень прецедентов является достаточным для
иллюстрации неполноты подхода, при котором информационные ресур-
сы сводятся к документальным информационным ресурсам.
1. В уголовной практике.
1.1. Дело сопровождается «вещдоками», без них нет дела (орудия взло-
ма, орудие убийства и/или его элементы: гильзы, пули, веревки и пр.).
Вещдоки (или часть их) сохраняются «при деле».
Часть 1. Основы государственной информационной политики
1.2. Формируются специальные коллекции из орудий, участвовавших
в преступлении:
• создание коллекций оружия для отождествления типа оружия по бо-
еприпасу;
• коллекции гильз («гильзотеки») и использованных пуль, для просле-
живания движения «стволов» по преступлениям.
2. В государственном делопроизводстве в архивы сдавались печати
(определенным образом «погашенные»),
3. В экспертизе, метрологии, сельском хозяйстве:
• эталонные образцы, реактивы и пр.;
• реперные объекты (например, кронштадтский футшток («уровень
моря»); гринвичский и пулковский меридианы, системы мегалитиче-
ских памятников (как материализованная фиксация астрономических
знаний древности (скрытые и «раскрытые»), геодезические знаки
опорной геодезической сети (по классам точности);
• «линии производителей», элитный семенной материал и пр.;
• мощнейший инструментальный комплекс «эталонного времени»,
сеть сейсмических и метеорологических станций, контрольно-изме-
рительные полигонные комплексы (данный пример может быть при-
мером класса «организационная единица» в чистом виде).
4. Американская система патентования требовала в качестве допол-
нения к патенту действующее устройство и/или модель.
5. Отчетные материалы геологоразведки состоят из двух частей: соб-
ственно описательных и аналитических материалов и образцов. К этому
классу относятся метеоритные коллекции и пробы грунта, полученные
в результате планетарных исследований.
Утрата образцов резко снижает ценность отчетов. Результаты разных
партий, проводящих исследования, могут стать несопоставимы. «Доку-
ментальная ценность» образцов неисчерпаема (с появлением новых ме-
тодов исследований происходит новое раскрытие информационного со-
держания).
Например:
• многократные переоценки экспедиционных материалов по тунгус-
скому метеориту;
• новые оценки гипотезы «жизни на Марсе» по результатам анализа
метеоритного материала.
51
Основы информационной безопасности
6. В медицине и биологии: коллекции живых штаммов, чистые рады
подопытных животных и насекомых (белые мыши, муха дрозофила).
7. Палеонтологические реконструкции. Сюда можно включить и ре-
зультаты реконструкций по методу Герасимова в археологии и
криминалистике.
8. «Персонал» для выполнения специфических работ:
• Специальные группы экспертов для проведения органолептических
оценок (виноделие, производство парфюмерных изделий и др.). Это
класс информационных ресурсов «персонал» - в чистом виде.
• Специфические профессиональные группы: испытатель (всех катего-
рий), проводник, лоцман, «колодезник», следопыт, некоторые спе-
циалисты таможенных профессий и др.
• «Язык», свидетель (утрата свидетеля в раде случаев ведет к «разва-
лу» дела), «пленный».
• Оперативные работники, резидентура, специалисты по опознанию.
• Особо доверенные лица («хранители тайн»): в древности - особо по-
священные члены религиозных групп, вожди племен; хранители уте-
рянных тайн (греческий огонь, сокровища инков, целые системы
знаний древних и пр.); в современной истории - три специалиста, со-
храняющие рецепт кока-колы; хранители тайн ценностей и местона-
хождения документохранилищ германского рейха (по решениям со-
вещания 1944); полная группа хранителей кодовых комбинаций
(ключей) «особых кладовых»; «старшие призыва» (в германской ар-
мии) и другие подобные персоны и группы.
• Группы «трофейных специалистов»: группа Брауна, Гелен, Гесс,
Паулюс на Нюрнбергском процессе и др.
• «Законсервированная» резидентура.
9. В принципе понятие машиночитаемого информационного ресурса
и сам машиночитаемый документ не могут существовать без некоторого
инструментального комплекса (*0* - «промышленного образца»), кото-
рый превращает носитель с зафиксированной на нем информацией в до-
кумент, доступный пользователю.
Есть инструментальный комплекс - существует документ, нет инст-
рументального комплекса - нет документа!! А следовательно, нет ин-
формационного ресурса!
10. Самолет-лидер, точные «двойники» космических аппаратов на
земле, синхронно с основным работающие на земле и на которых прохо-
52
Часть 1. Основы государственной информационной политики
дит обследование внештатных ситуаций. Указанные образцы выполняют
роль долговременного эталонного дублера основного объекта на все вре-
мя его существования.
11. Приведем высказывания, свидетельствующие о том, что Туполев
рассматривал персонал, промышленные образцы и организации (КБ,
школы) в качестве основной составляющей части того, что мы именуем
информационным ресурсом. Одновременно необходимо обратить внима-
ние на то, что знание, зафиксированное в книге (документе), для него
вторично, неоперативно. Накопление конструкций, технических реше-
ний, «новшеств» (закрепленных в конструкциях с той или иной степенью
реализации, проверенных в действии, на стенде и т. д.) - основа успеш-
ного решения практических задач.
С некоторой степенью условности его можно считать сторонником
(по крайней мере после завершения специального образования) передачи
знаний и умений в процессе совместной работы над реальными проекта-
ми: «Наша работа, результатом которой является постройка самолетов,
отнимает настолько много сил и энергии, что я ни одной строчки не пи-
шу. Вы должны рассматривать как оправдание результаты, которые мы
даем. Я просил бы, чтобы эта точка зрения была принята всеми...» Еще
одна цитата: «Мы расширяем круг лиц, которые могут принять от нас ра-
боту... Никто с должной отчетливостью не представляет того напряжения
в отделе, в смысле передачи опыта и знаний, которое у нас создалось. Ес-
ли возьмете каждого из сотрудников, вы увидите, сколько человек у каж-
дого из них учатся. Создается школа, которая имеет очень большое зна-
чение. Передаем ли мы свои знания в промышленность? Передаем. На-
пример, возьмите 5-й завод - много взял от бомбовоза. Это - передача
опыта в наивысшей форме, которая дороже книг, так как это живая пере-
дача. Это один из самых трудных способов передачи, гораздо труднее,
чем написать книгу» [16, 17].
Приведем краткую характеристику каждого из перечисленных клас-
сов информационных ресурсов и их места в структуре информационных
ресурсов.
Документы. Документированная информация (документ) - зафикси-
рованная на материальном носителе информация с реквизитами, позво-
ляющими ее идентифицировать (Федеральный закон от 04.07.1996 г.
№ 85-ФЗ «Об участии в международном информационном обмене».
Ст. 2).
Документ - главное средство закрепления различным способом
на специальном материале (носителе) информации, получаемой в про-
цессе развития науки и практической деятельности людей. В них закреп-
53
Основы информационной безопасности
ляется и концентрируется информация о фактах, событиях, явлениях
объективной действительности и мыслительной деятельности человека.
Основная функция документа - обеспечение передачи информации
в пространстве и времени между различными пользователями.
Данный класс информационных ресурсов является наиболее иссле-
дованным. Фактически все работы по созданию и развитию информаци-
онных систем направлены на формирование документальных информа-
ционных ресурсов и обеспечение доступа пользователей к ведомствен-
ным, национальным и международным документальным ресурсам.
Основной тенденцией развития документальных ресурсов является
перенос все большей их части на машиночитаемые носители, что прин-
ципиально изменяет условия доступа к документальным информацион-
ным ресурсам.
С одной стороны, создаются условия прямого доступа к неограни-
ченным массивам информации и автоматизированной их обработки,
а с другой - возможность полного закрытия неконтролируемого доступа
к этим массивам, а также возможность жестко контролируемого инфор-
мирования и дезинформирования (т. е. выдачи той и только той инфор-
мации, которую держатель информационных ресурсов считает нужным
предоставить конкретному пользователю).
Перенос информационных ресурсов на машиночитаемые носители
приводит к существенным изменениям во всех процессах, связанных
с накоплением, обменом и обработкой информации и процессов доступа
к ресурсам.
Задачи обеспечения документальными информационными ресурсами
осложняются и тем, что все большая часть машиночитаемых информаци-
онных ресурсов не имеет своего аналога на традиционных носителях.
Формирование машиночитаемых информационных ресурсов создает
ситуацию, при которой пользователь, не обладающий необходимыми
техническими и программными средствами переработки машиночитае-
мых информационных ресурсов, фактически, исключается из сферы эф-
фективного применения наиболее ценных информационных ресурсов на
всех уровнях: персональном, групповом, ведомственном, национальном,
региональном и международном.
Между информацией, зафиксированной в документе, и пользовате-
лем появляется система барьеров (технических, программных, техноло-
гических и других), которые существенно ограничивают и/или полно-
стью исключают возможность доступа к информации.
Более полно определить факторы, влияющие на создание барьеров
между информацией, зафиксированной в документе, и пользователем
можно на основании приведенной ниже обобщенной модели документа.
54
Часть 1. Основы государственной информационной политики
Обобщенная модель документа. Как показывает анализ сущест-
вующих определений, каждый тип документа является функцией следую-
щих документообразующих признаков:
Д=Г(с|£], H[i], a[q], фЦ], y[h], n[w], m[z]),
где Д - документ; c[g] - содержание информации, отражаемой в доку-
менте; н | i | - носитель информации; a[q] - алфавит представления инфор-
мации; фр] - метод (способ) фиксации информации (данных), зафикси-
рованной в документе; y[h] - устройство (техническое средство),
обеспечивающее как воспроизводство документа в форме, пригодной для
восприятия человеком, так и регистрацию (фиксацию), сбор, передачу,
хранение и обработку, ввода-вывода документов; n[w] - правила (спосо-
бы, методы, алгоритмы, программы) преобразования документов (ин-
формации (данных)) при изменении носителя информации, устройств
воспроизведения, фиксации, сбора, передачи, хранения, обработки, вво-
да-вывода документов; m[z] - метаинформация о документе (информа-
ция, описывающая документ).
В первом приближении документообразующие признаки могут быть
заданы следующим перечнем.
1. Содержание информации, отражаемой в документе (c[g]).
1.1. Проблемная область информации, отраженной в документе.
1.1.1. Научно-техническая информация.
1.1.2. Экономическая информация.
1.1.3. Управленческая информация.
1.1.4. Технологическая информация.
1.1.5. Производственная информация.
1.1.6. Юридическая информация.
1.1.7. Справочная информация.
1.1.8. Социальная информация.
1.1.9. Медицинская информация.
1.1.10. Прочая (в том числе художественная, религиозная, музыка,
искусство, литература и т. д.).
1.2. Описательная информация о документе (информация, описы-
вающая документ).
1.2.1. Реферативно-библиографические данные (в соответствии с при-
нятыми нормами описания конкретного вида документа).
1.2.2. Лингвистические средства, раскрывающие содержание доку-
мента (классификации, классификаторы, рубрикаторы, тезаурусы и деск-
рипторные словари, прочие словарно-терминологические средства).
55
Основы информационной безопасности
1.2.3. Идентификационная информация, способствующая однознач-
ной идентификации документа и его места в совокупности взаимосвязан-
ных документов, а также связей документа с другими документами, фон-
дами документов, владельцами и пр.
2. Носитель информации (n[i]).
2.1. Бумажный носитель:
2.1.1. Документы, подготовленные с помощью традиционных средств
полиграфии.
2.1.2. Бумажный носитель для устройств типа принтера.
2.1.3. Перфолента
2.1.4. Перфокарта.
2.1.5. Носители для устройств отображения.
2.2. Магнитные и магнитооптические (CD ROM) носители:
2.2.1. Магнитная лента.
2.2.2. Магнитные диски и дискеты.
2.2.3. Жесткие диски (винчестеры).
2.2.4. CD ROM.
2.2.5. Оперативная память.
2.3. Микрофильмовые носители и кинофотоматериалы:
2.3.1. Микрофильмы.
2.3.2. Микрофиши.
2.3.3. Фотоносители.
2.3.4. Киноматериалы.
2.4. Устройства отображения:
2.4.1. Табло для алфавитно-цифровой информации.
2.4.2. Экраны.
2.4.3. Самописцы.
2.5. Сообщения по линиям связи.
3. Алфавит представления информации (a[q]).
3.1. Цифры.
3.2. Буквы.
3.3. Символы иероглифических систем письменности.
3.4. Знаки:
3.4.1. Математические и химические знаки.
3.4.2. Почтовые знаки.
3.4.3. Картографические знаки.
3.4.4. Железнодорожные и пароходные знаки, знаки правил уличного
движения и пр.
3.4.5. Метеорологические знаки.
3.4.6. Астрономические и лунные знаки.
Часть 1. Основы государственной информационной политики
3.5. Прочие системы специальных знаков и условных обозначений
(знаки радиоэлектронных схем, технологических процессов и пр.).
4. Метод (способ) фиксации информации (данных), зафиксированной
в документе (ф[)])-
4.1. Тексты.
4.2. Формульная информация (в том числе различные методы пред-
ставления химических формул и структур).
4.3. Табличная информация (в том числе бланковая, анкетная).
4.4. Графика (рисунки, чертежи, карты, изображения, видеоматериа-
лы и пр.).
4.5. Представление пространственных данных.
4.6. Аудиоинформация.
4.7. Аудиовизуальная информация.
4.8. Цифровая и аналоговая информация, записываемая различной
регистрирующей аппаратурой.
4.9. Перфорация (от азбуки для слепых до кодовых комбинаций на
перфоносителях).
5. Устройство (техническое средство), обеспечивающее как воспро-
изводство документа в форме, пригодной для восприятия человеком, так
и регистрацию (фиксацию), сбор, передачу, хранение и обработку, ввода-
вывода документов (y[h]).
5.1. Средства ручной обработки.
5.2. Оргтехника.
5.3. Микрофильмовая техника (все средства кинофототехники).
5.4. Элекронно-вычислительная техника (в том числе ЭВМ, телеви-
зионная техника).
5.5. Средства и каналы связи.
6. Правила (способы, методы, алгоритмы, программы) преобразова-
ния документов (информации (данных)) при изменении носителя инфор-
мации, устройств воспроизведения, фиксации, сбора, передачи, хранения,
обработки, ввода-вывода документов (n[w]).
6.1. Преобразования:
6.1.1. Информации (данных).
6.1.2. Носителей.
6.1.3. Технических средств.
6.1.4. Алгоритмов, программ, правил.
6.2. Операции обработки;
6.2.1. Копирование.
6.2.2. Контроль.
6.2.3. Поиск.
6.2.4. Восстановление.
№
Основы информационной безопасности
6.2.5. Защита.
6.2.6. Ввод-вывод.
6.2.7. Преобразование:
6.2.7.1. Редактирование (включение, замена, извлечение, объедине-
ние, сегментирование, гашение, уничтожение, создание связи, изменение
положения, упорядочение, слияние, группировка).
6.2.7.2. Кодирование-декодирование, транслитерация, транскрибиро-
вание.
6.2.8. Просмотр.
6.2.9. Обмен.
6.2.10. Хранение.
6.2.11. Прочие операции.
7. Метаинформация о документе (информация, описывающая доку-
мент) (m[z]).
7.1. Описание структуры документа.
7.2. Описание системы кодирования, включаемой в документ.
7.3. Описание операций, разрешенных над информацией, включае-
мой в документ.
7.4. Описание информации, включаемой в документ.
7.5. Описание информации, идентифицирующей документ.
7.6. Описание технических средств, необходимых для обработки до-
кументов и информации, включенной в документ.
7.7. Описание правил, алгоритмов, программ, обеспечивающих рабо-
ту с документом.
Перечень составлен на основании анализа документов, циркулирую-
щих в различных сферах человеческой деятельности.
Приведенный перечень с достаточной полнотой отражает состояние
(уровень развития) современных информационных технологий, опираю-
щихся на документальные информационные ресурсы.
Каждый документ характеризуется своим набором признаков. С дру-
гой стороны, один и тот же по содержанию документ может иметь раз-
личную форму представления в зависимости от того, в какой информа-
ционной структуре он функционирует.
Общее количество видов и форм документов, используемых в каче-
стве источников информации, неизвестно. Только по признакам, входя-
щим в группу «содержание информации», различные исследователи
состава фондов крупнейших библиотек и информационных центров вы-
явили около 110-130 видов документов (широкого распространения и
не публикуемых).
V
Часть 1. Основы государственной информационной политики
Существуют различные классификационные перечни этих видов до-
кументов. Применительно к фондам научно-технических документов, как
правило, выделяют 6 классификационных групп:
• библиографию литературных источников (планы издательств, про-
спекты информационных изданий, справочный аппарат государст-
венных библиотек ит. д.);
• библиографию неопубликованных источников (бюллетени регистра-
ции, отраслевые сборники рефератов НИР и ОКР, тезисы докладов на
конференциях и семинарах и т. д.);
• фактографическую информация (прейскуранты оптовых цен, катало-
ги изделий внутриведомственной кооперации, документация по це-
нообразованию ит. д.);
• нормативную документацию (государственные и республиканские
стандарты, отраслевые нормативы трудоемкости, стандарты пред-
приятий на унифицированные узлы и компоненты и т. д.);
• патентную информацию (патентные зарубежные журналы, выдержки
из патентных заявок, описания отечественных изобретений и т. д.);
• основную первичную информацию (книги, периодика, отечествен-
ные и зарубежные научно-технические сборники и труды НИИ, кон-
структорская и технологическая документация и т. д.).
Морфологический анализ позволяет на основании перечисленных
документообразующих признаков выявить более широкую гамму видов
документов, которые находятся в жесткой зависимости от информацион-
ной инфраструктуры (технической, программной и технологической).
Функционирование документальных информационных ресурсов
(особенно представленных на машиночитаемых носителях) свидетельст-
вует о том, что период их «жизненного цикла» существенно превосходит
периоды «жизненного цикла» конкретных технических средств, про-
граммных продуктов, поколения ПЭВМ. Изменение технической и про-
граммной конфигурации автоматизированных информационных систем
порождает проблему непрерывного конвертирования информационных
массивов, которая по мере увеличения их объема становится все более
дорогостоящей процедурой. С другой стороны, процессы конвертирова-
ния создают условия безвозвратной утраты тех или иных ресурсов в ре-
зультате неадекватных процессов преобразования и/или утраты связей
массивов с программной и технической средой, обеспечивающей их це-
лостность и обработку, и/или утратой массивов и/или программных
59
Основы информационной безопасности
средств, обеспечивающих идентификацию и однозначное декодирование
данных и т. и.
Нарастающее многообразие документообразующих признаков ведет
к сверхизбыточному нарастанию несовместимых форм представления
информации в документах, что существенным образом увеличивает чис-
ло барьеров между информацией, зафиксированной в документе, и поль-
зователем, желающим получить доступ к этой информации.
Если при употреблении документов на традиционных носителях ос-
новным барьером, при условии получения документа, был «языковой
барьер» и уровень профессиональной подготовки пользователя, то пере-
ход к машиночитаемым носителям количество барьеров резко увеличивает.
Основные барьеры доступа к документальным информационным ре-
сурсам в зависимости от различных документообразующих признаков
в первом приближении могут быть заданы следующим перечнем.
1. Барьеры, возникающие при использовании микрофильмовых носи-
телей (микрофильмы, микрофиши):
• кратность уменьшения;
• цветочувствительность;
• цветопередача;
• разрешающая способность;
• адаптивность оборудования к типу носителя и его размерным пара-
метрам;
• возможность автоматизированного поиска по имеющимся на носите-
ле идентификационным кодам: степень доступности кодовых при-
знаков, возможность декодирования аппаратными средствами, со-
вместимость техническая;
• возможность выборочного и сплошного копирования и получения
полноразмерных копий.
2. Магнитные и магнитооптические (CD ROM) носители (магнитная
лента, магнитные диски, дискеты, жесткие диски (винчестеры), CD ROM,
оперативная память):
• размерные характеристики носителя (длина, ширина, толщина, диа-
метр, количество поверхностей, с которых происходит чтение-запись
информации);
• конструктивные, связанные с возможностью установки на конкрет-
ные устройства ввода-вывода информации;
60
Часть I. Основы государственной информационной политики
• тип записи (плотность, число дорожек, ширина межблочных проме-
жутков ит. и.);
• организация файлов;
• методы кодирования информации (используемый алфавит и методы
кодирования символов алфавита, стандарты представления видеоин-
формации, графики пространственной информации, звука, аналого-
вой информации и т. д.);
• используемые методы защиты информации (криптография, элек-
тронные ключи, другие аппаратные методы защиты).
3. Алфавит представления информации:
• несовместимость символьного набора;
• несовместимость системы кодирования;
• несовместимые системы правил лексикографического упорядочения;
• несовместимость используемых символьных множеств с языками
представления информации и типами представляемой информации;
• неразличимость «синонимии» символов (начертательной и кодовой);
• несовместимость правил транслитерирования.
4. Устройство (техническое средство):
• техническая несовместимость (общая, частичная);
• несогласованность конфигурации с требованиями к процессам обра-
ботки конкретных машиночитаемых носителей (объемы памяти,
комплектация средств ввода-вывода, типы мониторов, видеокарты
и пр.);
• невозможность использования требуемых программных продуктов.
5. Правила (способы, методы, алгоритмы, программы) преобразова-
ния документов (информации, данных):
• несовместимость и различие методов обработки;
• алгоритмическая и программная несовместимость;
• несовместимость по набору процедур обработки и набору обрабаты-
ваемых типов данных;
• несовместимость форматов представления данных;
• несовместимость систем кодирования, драйверов, электронных ключей;
• несовместимые методы представления и обработки данных в одно-
типных программных продуктах;
61
Основы информационной безопасности
• различия интерфейса программных продуктов;
• несовместимость документов, подготовленных на одноименных про-
граммных продуктах различных версий и их модификаций;
• неэквивалентное преобразование информационных массивов при
конвертировании.
6. Метаинформация о документе (информация, описывающая доку-
мент):
• несовместимые методы и схемы описания (по содержанию, набору
параметров);
• закрытость параметров и схем описания.
Исходя из изложенного, следует сделать следующие выводы.
1. Современный уровень развития информационных технологий с до-
кументальными ресурсами и тенденции их развития встраивают
между носителем информации и пользователем информации, зафик-
сированной на носителе, сложнейшую техногенную среду (техниче-
скую, алгоритмическую, программную, технологическую), без уча-
стия которой пользователь не способен получить доступ к информа-
ции и воспринимать ее.
2. Несовместимость техногенной среды создает значительные трудно-
сти для восприятия информации, зафиксированной на машиночитае-
мых носителях, и во многих случаях ведет к их безвозвратной утрате.
3. Использование машиночитаемых ресурсов возможно в том и только
в том случае, если они используются в согласованной (нормализо-
ванной, стандартизованной) техногенной среде. Требуемый уровень
согласования для различных типов машиночитаемых документов
различен. Соответственно каждая техногенная среда позволяет осу-
ществлять работу с различными (свойственными только для нее)
типами машиночитаемых ресурсов. Более того, различные модифи-
кации (версии) одной и той же техносферы могут порождать несо-
вместимые машиночитаемые информационные ресурсы. К этой кате-
гории барьеров относятся ситуации, связанные с использованием
несовместимых текстовых редакторов, драйверов, видеокарт, сис-
темные требования к конфигурации и пр.
4. Современный уровень развития техносферы визуализации и исполь-
зования информации, зафиксированной на машиночитаемых носите-
лях, порождает формирование информационных ресурсов с высокой
степенью «нерегулируемой (скрытой) криптографичности», опреде-
ляемой несогласованностью инструментальных средств, находящих-
62
Часть I. Основы государственной информационной политики
ся в распоряжении конкретных пользователей. «Нерегулируемая
(скрытая) криптографичность» информационных ресурсов, в свою
очередь, порождает неадекватное воспроизводство информации, со-
держащейся на носителе, что исключает ее использование.
В каждый данный момент времени конкретная информационная сис-
тема находится в состоянии информационной, технической, программной
и технологической совместимости. Но система непрерывно развивается
(модернизируется, модифицируется): изменяется состав технических,
программных и технологических средств. Развиваются и внешние ин-
формационные системы.
Собственное развитие осуществляется, как правило, с учетом приня-
тых ранее технических и программных решений (не исключаются случаи
преобразований от «чистого листа», когда происходят принципиальные
изменения, коренная ломка структуры технических и программных
средств).
Каждая внешняя система, осуществляя аналогичный процесс разви-
тия, принимает иные проектные решения, обеспечивающие свои цели.
В результате в системах накапливаются документальные информаци-
онные ресурсы, несовместимые на уровне технических средств, разли-
чающиеся по структуре, форматам представления данных, методам коди-
рования, правилам содержательного описания и т. д. Взаимодействие
пользователя с такими ресурсами невозможно без разработки системы
комплексных программных средств, обеспечивающих приведение ин-
формационных массивов к виду, при котором могут осуществляться ин-
формационные технологии, образованные «новой конфигурацией» про-
граммно-технического комплекса системы на новый текущий момент
времени. Создается ситуация, при которой «ретроспективные» массивы,
даже приведенные к формальным условиям совместимости с массивами
«на данный момент времени», являются неадекватной формой представ-
ления ранее накопленной информации. Степень этой «неадекватности»
различна, она, как правило, соответствует той степени «правильности»,
которую удалось обеспечить при конвертировании в новую форму пред-
ставления.
При этом нужно учитывать, что взаимнооднозначное преобразование
информационных массивов не всегда имеет место. Это положение отно-
сится как к собственным массивам системы, так и особенно к массивам
внешних систем.
Например, несмотря на разработку мощных современных текстовых
процессоров и баз данных, далеко не всегда между ними возможен вза-
имный экспорт (импорт) файлов.
Многократное конвертирование в конечном счете может создать ус-
ловия абсолютной утраты достоверности информации.
63
Основы информационной безопасности
Ситуация осложняется тем, что:
• Преобразуются значительные по объему массивы машиночитаемых
ресурсов (гига- и терабайты, миллионы документов (записей)).
• Преобразования проводятся по системе алгоритмических процедур,
реализованных в каждой системе различно. Алгоритмы, их ограни-
чения, требования к процедурам и алгоритмам, определяющим кон-
вертирование массивов, как правило, неизвестны (заданы по умолча-
нию, в явном виде пользователю неизвестны). К пользователю могут
поступать одни и те же массивы, прошедшие через различные мно-
жества конверторов, что порождает эффект, аналогичный «множест-
венному» переводу в традиционных информационных технологиях.
• Пользователь, применяющий информацию, не знает, подвергался ли
предоставленный ему массив конвертированию, какие процедуры
при конвертировании проводились, с помощью каких конверторов
и какое число конвертации данного массива проводилось.
• Возможна ситуация, при которой различные части информационного
массива конвертировались по различным системам конверторов.
• В организации взаимодействия по межсистемному обмену докумен-
тальными информационными ресурсами на машиночитаемых носи-
телях возникают значительные трудности, преодоление которых тре-
бует значительных ресурсных затрат, связанных с необходимостью
конвертирования информационных массивов.
5. Проблемы информационной войны
...С повышением способностей информационных
систем в части их обучения акцент будет все
более и более смещаться в сторону применения
не огнестрельного оружия, а информационного.
С. П. Расторгуев
Поле боя в конфликтах XXI века -
это виртуальное киберпространство, в котором
разворачиваются действия информационных войн.
С. Н. Гриняев
5.1. Информационное оружие и его классификация
Одна из первых публикаций, посвященных классификации информа-
ционного оружия, появилась в журнале «Военная мысль» и принадлежит
профессору А. И. Позднякову [19]. Данная классификация приведена
на рис. 1.5 и включает две подгруппы информационного оружия.
64
Часть 1. Основы государственной информационной политики
Рис. 1.5. Классификация информационного оружия
Первая подгруппа включает в себя:
• СМИ;
• психотропные генераторы;
• психотропные препараты.
Информационное оружие данной подгруппы предназначено для не-
гативного воздействия на человека. В частности, это воздействие может
осуществляться через различные СМИ. В соответствии с Федеральным
законом «О средствах массовой информации» под этими средствами по-
нимается периодическое печатное издание, радио-, теле-, видеопрограм-
ма, кинохроникальная программа, иная форма периодического распро-
странения массовой информации. Под массовой информацией понима-
ются предназначенные для неограниченного круга лиц печатные, аудио-,
аудиовизуальные и иные сообщения и материалы. Хронология многих
военных конфликтов последних лет включала, как правило, в начале их
развития этап психологической обработки мировой общественности че-
рез СМИ. Так, например, при подготовке войны в районе Персидского
залива США убедили мировую общественность в необходимости мер,
принимаемых коалиционным руководством. Основная нагрузка в этой
связи легла на печать, радио и телевидение. Они широко распространяли
слухи о наличии у Ирака огромных запасов химического оружия, а также
о планах его возможного применения, сообщали завышенные данные
о численности иракских вооруженных сил, о поддержке режимом Хусей-
на ряда террористических организаций и т. п. [20].
Психотропные генераторы - это устройства, осуществляющие воз-
действие на человека путем передачи информации через внечувственное
(неосознаваемое) восприятие.
Уже давно установлено [21], что разные органы человека имеют соб-
ственные резонансные частоты (рис. 1.6), используя которые можно воз-
действовать на психико-физиологическое состояние индивида или кол-
лектива людей, вызывая у них страх, подавленность или другие чувства.
65
Основы информационной безопасности
Глазные яблоки _____
Голова
Мочевой пузырь
и прямая кишка
Дыхательное М
горло и бронхи И
Позвоночник |
Грудная
клетка и живот ИЦ
Челюсти |
Внутреннее ухо |
10 20 30 О 50 60 70 80
Рис. 1.6. Резонансные частоты (в Гц) отдельных частей тела человека
Эти и другие особенности человеческого организма используются
при построении и подборе параметров (частотный диапазон, мощность
излучения, длительность работы и др.) психотронных генераторов.
Психотропные препараты - это лекарственные (наркотические) сред-
ства, которые способны вызывать состояние зависимости, оказывать
стимулирующее или депрессивное воздействие на центральную нервную
систему, вызывая галлюцинации или нарушение моторной функции ор-
ганизма, под воздействием которых происходит нарушение мышления,
меняется настроение, поведение [4].
Средства радиоэлектронной борьбы (РЭБ) - это средства для выявле-
ния и радиоэлектронного подавления систем управления войсками и
оружием противника, его систем разведки и навигации, а также средства
для обеспечения устойчивой работы своих систем.
Средства специального программно-технического воздействия
(СПТВ) - программные, аппаратные или программно-аппаратные средст-
ва, с использованием которых может быть осуществлено несанкциониро-
ванное копирование, искажение, уничтожение информации, ее передача
за пределы контролируемой зоны или блокирование доступа к ней.
5.2. Информационная война
В настоящее время в число сфер ведения боевых действий, помимо
земли, моря, воздуха и космоса, добавилась и информационная сфера.
Как подчеркивают военные эксперты, основными объектами поражения
в новых войнах будут информационная инфраструктура и психология
противника (появился даже термин «human network»).
66
Часть 1. Основы государственной информационной политики
В качестве основных объектов воздействия в информационной войне
выступают [29]:
• сети связи и информационно-вычислительные сети, используемые
государственными организациями при выполнении своих управлен-
ческих функций;
• военная информационная инфраструктура, решающая задачи управ-
ления войсками;
• • информационные и управляющие структуры банков, транспортных
и промышленных предприятий;
• СМИ (в первую очередь электронные).
Сейчас имеется множество определений информационной войны.
Остановимся на одном из них [22]. В августе 1995 г. Национальный ин-
ститут обороны США опубликовал работу Мартина Либики «Что такое
информационная война?». В ней автор определил 7 разновидностей ин-
формационной войны: командно-управленческая, разведывательная, пси-
хологическая, хакерская, экономическая, электронная и кибервойна.
Командно-управленческая (Command-and-control) война в качестве
основного объекта воздействия рассматривает каналы связи между ко-
мандованием и исполнителями. Перерезая «шею» (каналы связи), напа-
дающий изолирует «голову» от «туловища». Утверждается, что это луч-
ше, нежели просто убивать «голову». Считается, что Интернет родился
как оборонный вариант этой войны («рассредоточенная шея»).
Разведывательная война имеет целью сбор важной в военном отно-
шении информации и защиту собственной.
Электронная война объектом своего воздействия имеет средства
электронных коммуникаций - радиосвязи, радаров, компьютерных сетей.
Ее важная составляющая - криптография, позволяющая осуществлять
шифрование и расшифровку электронной информации.
Психологическая война - осуществляется путем пропаганды, «про-
мывания мозгов» и другими методами информационной обработки насе-
ления.
Либики выделяет 4 составляющие психологической войны: подрыв
гражданского духа; деморализация вооруженных сил; дезориентация ко-
мандования; война культур (Kulturkampf).
Хакерская война имеет целями тотальный паралич сетей, перебои
связи, введение ошибок в пересылку данных, хищение информации, хи-
щение услуг за счет несанкционированных подключений к сетям, их тай-
67
Основы информационной безопасности
ный мониторинг, несанкционированный доступ к закрытым данным. Для
достижения этих целей используются различные программные средства:
вирусы, «троянские кони», «логические бомбы», сниферы («нюхалки»,
«следилки»).
Экономическая информационная война. Либики выделяет две ее
формы - информационную блокаду (направленная против США) и ин-
формационный империализм (метод самих США).
Мир продолжает стремительно изменяться и ставит множество новых
вопросов перед человечеством.
Революционные изменения видны во многих отраслях мировой эко-
номики, в первую очередь это область информатизации общества. Волна
«цифровой революции» создала абсолютно новый экономический сектор,
которого раньше просто не было. Это провоцирует рост интенсивности
конфликтов с целью захвата и удержания превосходства в данном секто-
ре новой мировой экономики. Капиталом, который играет главенствую-
щую роль в «цифровой революции», является интеллектуальный капитал,
прежде всего в области информационных технологий.
И наконец, основной продукт этого сектора - информация - обладает
уникальными свойствами, не присущими другим секторам экономики.
Информация в отличие от всех других ресурсов пригодна для многократ-
ного использования и для многочисленных пользователей, при этом чем
больше она применяется, тем более ценной становится. То же самое
можно сказать о сетях, связывающих различные источники информации.
Таков один из подходов к определению сущности и содержания ин-
формационной войны, описанный в работе [22]. Читателю, безусловно,
будет полезно ознакомиться и с другими трактовками этого понятия,
приведенными в работах [23, 24, 25, 26].
Множество определений информационной войны связано, по-видимому,
со сложностью и многогранностью такого явления, как информационная
война, трудностью построения аналогий с традиционными войнами.
Начнем с определения известного теоретика и историка К. Клаузевица
[27], в соответствии с которым война есть не что иное, как продолжение
государственной политики иными средствами. В. И. Ленин уточнил это
определение [28], добавив перед словом «средствами» прилагательное
«насильственными». Если попытаться трансформировать приведенные
определения в понятие «информационная война», то вряд ли что конст-
руктивное получится. Это связано с рядом особенностей информацион-
ной войны.
9
Часть 1. Основы государственной информационной политики
Для войны в ее обычном понимании субъекты (противостоящие сто-
роны) четко определены, существуют понятия начала и окончания вой-
ны, линии фронта. Противостоящие стороны, как правило, описываются
одинаковыми моделями. Исход войны во многом определяется соотно-
шением военных потенциалов сторон.
Для информационной войны обычно четко определена обороняю-
щаяся сторона, понятия начала и окончания можно применить лишь к от-
дельным операциям информационной войны, линия фронта не определе-
на. Обороняющаяся и наступающая стороны описываются различными
моделями. Успех проводимых информационных операций не имеет пря-
мой связи с соотношением военных потенциалов сторон.
6. Проблемы информационной безопасности
в сфере государственного и муниципального
управления
6Л. Информационные процессы в сфере
государственного и муниципального управления
Обеспечение информационной безопасности в сфере государственно-
го и муниципального управления (ГМУ) основывается на подробном
анализе структуры и содержания ГМУ, а также информационных процес-
сов и используемых при управлении технологий.
Государственное (муниципальное) управление - это процесс выпол-
нения комплекса мероприятий, ориентированных на достижение госу-
дарственных (муниципальных) целей, которые описываются на языке,
отображающем желаемые состояния государства, отраслей, регионов
и муниципальных образований. Мероприятия при этом должны соответ-
ствовать стратегическим целям и тактическим задачам, быть упорядо-
ченными по времени выполнения и составу участников, а также быть
обеспеченными необходимыми ресурсами [18].
Учитывая большое количество и разнообразие управляющих систем
в сфере ГМУ, возьмем за основу рассмотрения региональный уровень ор-
ганов ГМУ (субъекта РФ и его муниципальных образований) и восполь-
зуемся результатами работы [18].
Систему органов власти и управления составляют:
• законодательный орган государственной (муниципальной) власти
субъекта РФ и представительные органы его муниципальных образо-
ваний;
69
Основы информационной безопасности
• исполнительный орган государственной власти субъекта РФ и орга-
ны муниципального управления;
• иные органы государственной власти субъекта РФ, образуемые в со-
ответствии с конституцией субъекта РФ.
Законодательный и исполнительный органы государственной власти
субъекта РФ, а также органы муниципального управления взаимодейст-
вуют в целях эффективного управления процессами экономического
и социального развития субъекта Федерации и в интересах его населения.
Территориальные органы федеральных органов исполнительной вла-
сти осуществляют свою деятельность под руководством соответствую-
щих центральных органов, а по вопросам, входящим в компетенцию
субъектов РФ, - во взаимодействии с региональными органами исполни-
тельной власти и управления. Основные задачи и функции территориаль-
ных органов определяются исходя из задач и функций соответствующих
министерств и ведомств РФ с учетом конкретных особенностей регионов,
в которых они осуществляют свою деятельность. Территориальные орга-
ны принимают участие в выработке мер и способов государственного ре-
гулирования социально-экономического развития субъектов Федерации,
информируют министерства и ведомства, органы исполнительной власти
субъектов Федерации о проводимой ими работе в регионах.
Территориальные органы имеют право запрашивать и получать:
• от органов исполнительной власти субъектов РФ и местного само-
управления - необходимую для осуществления своей деятельности
информацию;
• от предприятий, организаций и учреждений независимо от форм соб-
ственности - сведения, необходимые для выполнения возложенных
на них задач;
• от органов статистики - информационно-аналитические материалы,
экономико-статистические данные в установленном порядке.
Информационная сфера субъектов РФ и муниципальных образований
представляет собой совокупность субъектов, осуществляющих деятель-
ность в этой информационной сфере, региональных (муниципальных)
информационных систем и сетей связи, включая телекоммуникационные
системы, информационные ресурсы и общественные отношения в инфор-
мационной сфере, правовое регулирование которых Конституцией РФ
отнесено к предметам совместного ведения РФ, ее субъектов и муници-
пальных образований.
70
Часть 1. Основы государственной информационной политики
По своей природе и целям подавляющее число процессов в сфере
ГМУ являются информационными и составляют замкнутый цикл. К этим
процессам относятся:
• получение управляющими субъектами информации;
• переработка и анализ полученной информации;
• принятие управленческих решений;
• доведение их до исполнителей;
• контроль исполнения;
• получение информации о результатах управления.
Применительно к сфере ГМУ информационные процессы можно оп-
ределить как процессы получения, использования или преобразования
информации в ходе выполнения органом ГМУ или его должностным ли-
цом нормативно закрепленной за ним функции или задачи.
Типовыми информационными процессами в сфере ГМУ являются:
• ведение документооборота;
• накопление информации;
• анализ информации;
• прогноз и планирование;
• принятие управленческих решений;
• информирование населения.
Перечисленные процессы в работе [18] рассматриваются только
в контексте их реализации с помощью компьютерных систем.
Компьютерная система (КС) - это организационно-техническая сис-
тема, представляющая собой совокупность следующих взаимосвязанных
элементов:
• технических средств обработки и передачи данных (средств вычис-
лительной техники и связи);
• методов и алгоритмов обработки в виде соответствующего про-
граммного обеспечения;
• информации (массивов, наборов, баз данных) на различных носителях;
• персонала и пользователей системы, объединенных по организаци-
онно-структурному, тематическому, технологическому или другим
признакам для выполнения автоматизированной обработки инфор-
мации с целью удовлетворения информационных потребностей субъ-
ектов информационных отношений.
71
Основы информационной безопасности
По терминологии в области защиты информации от несанкциониро-
ванного доступа КС относится к автоматизированным системам.
Основными носителями и средствами передачи информации в КС
являются:
• средства хранения информации (магнитные диски, оптические диски,
ОЗУ, ПЗУ ит. д.);
• средства отображения информации (терминалы, принтеры, бумаж-
ные носители, графопостроители и т. д.);
• средства передачи информации (аппаратура передачи и приема ин-
формации, линии связи, модемы и т. д.).
Рассмотрим более подробно типовые информационные процессы
в органах ГМУ.
1. Ведение документооборота. Этот процесс осуществляется в целях:
• обеспечения внутреннего цикла движения организационно-распоря-
дительной и другой требуемой в повседневной работе информации;
• взаимодействия с вышестоящими и подчиненными органами;
• реализации установленных нормативными документами функций
в отношении юридических и физических лиц.
Ведение документооборота включает следующие операции:
• прием, подготовку, оформление, учет, согласование, рассылку доку-
ментов;
• организацию и контроль исполнения принимаемых решений.
2. Накопление информации. Этот процесс осуществляется в целях:
• облегчения поиска требуемой информации;
• сохранения циркулирующей информации.
Накопление информации включает следующие операции:
• ввод информации в базы данных;
• создание и копирование файлов документов.
3. Анализ информации и на его основе прогноз и планирование. Этот
процесс осуществляется в целях:
• подготовки отчетности для вышестоящих органов;
• обеспечения принятия оперативных решений;
• прогнозирования будущих состояний объекта управления;
• планирования дальнейших управленческих действий.
72
Часть 1. Основы государственной информационной политики
Данный процесс включает следующие операции:
• выборку требуемой информации по признакам из баз данных или
электронных архивов;
• систематизацию и агрегирование отобранных данных;
• визуализацию числовой информации;
• выявление закономерностей, тенденций и т. д.;
• формулирование выводов, прогнозов, планов;
• изготовление аналитических и плановых документов.
Уровни агрегирования информационно-аналитических материалов:
• на муниципальном (городском) уровне информация, как правило,
агрегируется в масштабе предприятий и районов;
• на региональном уровне - информация агрегируется по отраслям,
городам и районам.
4. Принятие управленческих решений. Этот процесс осуществляется
в целях:
• выполнения функций и задач управления;
• регулирования состояния (деятельности) объекта управления.
Принятие управленческих решений включает следующие операции:
• сопоставление и обобщение полученной информации;
• выбор наиболее приемлемого для конкретной ситуации варианта воз-
можных действий;
• доведение управленческой информации до исполнителей.
5. Информирование населения. Этот процесс осуществляется в целях:
• отчетности о принятых решениях и результатах работы органов ГМУ;
• повышения уровня информированности населения.
Он включает следующие операции:
• публикацию материалов в СМИ;
• ведение сайта в Интернете;
• подготовку ответов на запросы и обращения юридических и физиче-
ских лиц.
Участвующие в информационных процессах субъекты и объекты
вступают между собой в различные информационные отношения.
Информационные отношения - это вид общественных отношений,
связанных с информационными процессами - процессами сбора, обра-
73
Основы информационной безопасности
ботки, накопления, хранения, поиска и распространения информации
с использованием ЭВМ, их систем и сетей.
В качестве субъектов информационных отношений в сфере ГМУ вы-
ступают:
• органы ГМУ всех уровней и направлений;
• госслужащие (чиновники, персонал КС);
• юридические лица (коммерческие и общественные организации);
• граждане.
Различные субъекты в процессе информационных отношений могут
выступать в качестве:
• источников (поставщиков) информации;
• пользователей (потребителей) информации;
• собственников (владельцев, распорядителей) информации;
• участников процессов обработки и передачи информации.
6.2. Виды информации и информационных ресурсов
в сфере ГМУ
С тематической и функциональной точки зрения информация бывает
организационно-распорядительной, нормативно-правовой, планово-фи-
нансовой, социально-экономической, индикативной и т. д. По уровню аг-
регирования - первичной, структурированной, статистической, аналити-
ческой и др. [18].
По правовому режиму доступа информация может быть открытой
и ограниченного доступа.
Документированная информация ограниченного доступа подразделя-
ется на информацию, отнесенную к государственной тайне, и конфиден-
циальную.
Конфиденциальная информация - это документированная информа-
ция, доступ к которой ограничивается в соответствии с законодательст-
вом РФ.
Персональные данные - это сведения о фактах, событиях и обстоя-
тельствах жизни гражданина, позволяющие идентифицировать его личность.
Персональные данные о гражданах, включаемые в состав федеральных
информационных ресурсов, информационных ресурсов совместного ве-
дения, информационных ресурсов субъектов РФ, информационных ре-
сурсов местного самоуправления, а также получаемые и собираемые не-
государственными организациями, отнесены к категории конфиденци-
альной информации.
74
Часть 1. Основы государственной информационной политики
В действующей нормативно-правовой базе РФ существует более 30
видов тайн (видов конфиденциальной информации). Между ними подчас
имеются противоречия, нестыковки, пересечения, что объективно требу-
ет совершенствования законодательства в данной сфере.
Фиксируемая (накапливаемая) каким-либо способом информация об-
разует информационные ресурсы.
Информационные ресурсы - это отдельные документы и отдельные
массивы документов в информационных системах (библиотеках, архивах,
фондах, банках данных и других ИС).
Информационные ресурсы делятся на государственные и негосудар-
ственные. Государственные информационные ресурсы РФ формируются
в соответствии со сферами ведения (федеральные информационные ре-
сурсы; информационные ресурсы, находящиеся в совместном ведении
РФ и субъектов Федерации; информационные ресурсы субъектов РФ).
Государственные информационные ресурсы являются открытыми и об-
щедоступными. Исключение составляют ресурсы, включающие докумен-
тированную информацию, отнесенную законом к категории ограничен-
ного доступа [18].
6.3. Состояние и перспективы информатизации сферы ГМУ
Согласно Закону «Об информации, информатизации и защите ин-
формации», информация - это организационный социально-экономичес-
кий и научно-технический процесс создания оптимальных условий для
удовлетворения информационных потребностей и реализации прав граж-
дан, органов государственной власти, органов местного самоуправления,
организаций, общественных объединений на основе формирования и ис-
пользования информационных ресурсов.
К сожалению, информатизация сферы ГМУ в России происходит
в целом весьма хаотично и со значительным отставанием от требований
времени. Так, например, по результатам исследований, проведенных
в Санкт-Петербурге, уровень эффективности использования информации
в системе управления городом характеризуется следующими данными [18]:
• только 10-15 % информации используется для обоснования и приня-
тия решений;
• соотношение между входной и выходной информацией в различных
системах управления составляет от 4:1 до 40:1;
• объем дублирующей информации в системах управления достигает
30 % от ее общего объема.
75
Основы информационной безопасности
Такому положению дел способствовало отсутствие системной госу-
дарственной политики в информационной сфере. Тем не менее опреде-
ленные положительные сдвиги в этом направлении начинают происхо-
дить. Так, в начале 2002 г. правительством РФ утверждена федеральная
целевая программа «Электронная Россия» на период 2002-2010 гг. Ос-
новной целью программы является повышение эффективности функцио-
нирования экономики, государственного управления и местного само-
управления за счет внедрения и массового распространения информаци-
онных технологий, создание технологических предпосылок для развития
гражданского общества за счет обеспечения прав на свободный доступ
к информации, расширение подготовки специалистов по информацион-
ным технологиям и квалифицированных пользователей.
Для достижения целей программы в сфере ГМУ планируется [18]:
На первом этапе:
• проведение полномасштабного аудита всех информационных акти-
вов и ресурсов федеральных органов государственной власти, анализ
зарубежного опыта реализации подобных программ;
• будет сформирована система межведомственной координации дея-
тельности органов государственной власти всех уровней в целях раз-
вития и массового распространения информационных технологий,
разработаны критерии эффективности бюджетных расходов этой об-
ласти и создан механизм, обеспечивающий их достижение;
• будут созданы предпосылки для законодательного обеспечения прав
граждан на доступ к открытой информации государственных органов
власти и местного самоуправления на основе использования инфор-
мационных технологий;
• начнут реализовываться первые пилотные проекты по переходу
к электронному документообороту в государственных и муници-
пальных органах власти, по развитию инфраструктуры доступа к те-
лекоммуникационным сетям для органов государственной власти
и местного самоуправления.
На втором этапе:
• будут реализованы организационные мероприятия по расширению
и развитию проектов по интерактивному взаимодействию органов
государственной власти и местного самоуправления с гражданами
и хозяйствующими субъектами;
• будут разработаны и приняты изменения и дополнения к действую-
щим нормативным актам, уравнивающие в правах электронную
76
Часть 1. Основы государственной информационной политики
и бумажную форму представления информации в государственные
органы и органы местного самоуправления (в частности, в налоговые
и статистические органы, органы регистрации имущественных и дру-
гих прав ит. и.);
будет в основном сформирована единая телекоммуникационная ин-
фраструктура для органов государственной власти и местного само-
управления;
будут разработаны меры, регламентирующие права граждан и обя-
занности государственных и муниципальных учреждений по приня-
тию к рассмотрению заявок, жалоб и других запросов граждан
в электронной форме;
предполагается расширение сферы обязательного для государствен-
ных органов применения информационных технологий в сфере взаи-
модействия государства и общества, позволяющее гражданам реали-
зовать свои конституционные права на получение информации по
нормотворческой деятельности, бюджетному процессу, проведению
закупок для государственных нужд, процесса управления государст-
венной собственностью и т. д.;
будут развиваться системы внутриведомственного и межведомствен-
ного электронного документооборота, включая развитие локальных
информационных сетей и интранет, в том числе с использованием
открытых международных стандартов;
будет осуществлена разработка и начата реализация мер по оцифров-
ке и ускоренному переводу в открытый доступ всей не запрещенной
к открытому распространению, имеющейся у государственных орга-
нов информации;
будут разработаны и введены в действие необходимые поправки
в процессуальное законодательство, позволяющие осуществлять ряд
процессуальных действий с использованием информационных тех-
нологий;
будет сформирована основная конфигурация «электронного прави-
тельства».
На третьем этапе по результатам предыдущих этапов:
будет обеспечено комплексное внедрение стандартизированных сис-
тем документооборота;
будет реализовываться концепция представительства органов власти
в сети Интернет.
77
Основы информационной безопасности
Таким образом, при условии выполнения программы компьютерные
технологии к концу первого десятилетия XXI в. станут основой повсе-
дневной деятельности органов ГМУ, а компьютерные системы - ее глав-
ными инструментами [18].
7. Система подготовки кадров в области
информационной безопасности
в Российской Федерации
7.1. Структура системы подготовки кадров в области
информационной безопасности
В настоящее время система подготовки кадров опирается на Учебно-
методическое объединение (УМО) по образованию в области информа-
ционной безопасности, созданное в 1996 г. на базе известнейшего учеб-
ного заведения в этой области - Института криптографии, связи и ин-
форматики Академии ФСБ России. Важными структурами в этой системе
являются также Учебно-методический совет Российского государствен-
ного гуманитарного университета (РГГУ) и сеть региональных учебно-
научных центров по проблемам информационной безопасности (ИБ)
в системе высшей школы, созданных Минобразованием России в 1997 г.
(головной вуз - МИФИ).
Характеристика системы подготовки кадров представлена в работе [30].
Система включает в себя следующие составляющие:
• государственные образовательные стандарты высшего профессио-
нального образования и разработанные на их базе основные образо-
вательные программы в области ИБ по семи специальностям: «Крип-
тография» - 075100 (090101 ), «Компьютерная безопасность» -
075200 (090102), «Организация и технология защиты информации»-
075300 (090103), «Комплексная защита объектов информатизации» -
075400 (090104), «Комплексное обеспечение информационной безо-
пасности автоматизированных систем» - 075500 (090105), «Инфор-
мационная безопасность телекоммуникационных систем» - 075600
(090106), «Противодействие техническим разведкам» - 075700
(090107). Эти специальности в перечне направлений и специально-
В скобках указаны коды специальностей по ОКСО (Общероссийский клас-
сификатор специальностей по образованию).
78
Часть 1. Основы государственной информационной политики
стей выделены в отдельную группу «Информационная безопаст-
ность»;
• государственный образовательный стандарт среднего профессио-
нального образования по специальности «Информационная безопас-
ность» - 2206;
• Учебно-методическое объединение вузов России по образованию
в области ИБ на базе ИКСИ Академии ФСБ (УМО ИБ) и Учебно-
методический совет УМО в области историко-архивоведения (УМС
РГГУ);
• Сибирское региональное отделение УМО по образованию в области
информационной безопасности (СиБРУМО) (головной вуз ТУРУ С);
• более 100 вузов и 10 средних специальных учебных заведений Рос-
сии различной ведомственной принадлежности, которые ведут обра-
зовательную деятельность по подготовке специалистов в области ИБ;
• 12 министерств и ведомств и их органов управления профессиональ-
ным образованием, а также научные организации и учреждения, ве-
дущие научные исследования в данной области, в том числе два го-
ловных центра - МГУ им. М. В. Ломоносова и Академия криптогра-
фии РФ;
• специальности и специализации (соответствующие образовательные
программы, включающие вопросы ИБ), реализуемые в рамках других
УМО, смежные с входящими в группу по ИБ;
• 25 региональных учебно-научных центров (РУНЦ) по проблемам ИБ
в системе высшей школы с головным центром на базе МИФИ;
• образовательные программы дополнительного образования и соот-
ветствующие различные ведомственные курсы переподготовки и по-
вышения квалификации (ИКСИ Академии ФСБ России, РГГУ, Мос-
ковский институт новых информационных технологий ФСБ России,
Военная академия Генерального штаба Вооруженных сил РФ, МО-
СУЦ Минатома России и др.); ой> не смешите мои тапочки @
• образовательные программы послевузовского профессионального
образования в данной области (подготовка кадров высшей квалифи-
кации), включая единственную открытую специальность 05.13.19
«Методы и системы защиты информации, информационная безопас-
ность» и закрытые специальности.
Структура системы подготовки кадров в области ИБ представлена
на рис. 1.7.
79
Основы информационной безопасности
Рис. 1.7. Структура системы подготовки кадров в области
информационной безопасности
Объекты системы:
средние специальные и высшие учебные заведения, которые имеют
лицензии на образовательную деятельность по соответствующей
специальности, включенной в Общероссийский классификатор спе-
циальностей по образованию;
региональные учебно-научные центры (25), созданные во всех семи
федеральных округах на базе ведущих высших учебных заведений
и решающие проблемы кадрового обеспечения ИБ конкретного ре-
гиона;
80
Часть 1. Основы государственной информационной политики
учебные центры дополнительного образования (как правило, негосу-
дарственные), созданные организациями, активно работающими на
рынке средств и услуг, связанных с защитой информации. На свою
учебную деятельность данные центры получают лицензии соответст-
вующих региональных управлений образования. Такие учебные цен-
тры созданы практически во всех регионах России;
потребители (заказчики) специалистов.
Субъекты системы:
студенты и слушатели-специалисты, обучающиеся в высших учеб-
ных заведениях, РУНЦ и учебных центрах дополнительного образо-
вания;
преподаватели различных учебных заведений и центров;
административный персонал, организующий и сопровождающий
учебный процесс.
7.2. Состав учебно-методического обеспечения системы
и ее подсистема управления
В состав учебно-методического обеспечения системы входят:
государственные образовательные стандарты высшего профессио-
нального образования по семи специальностям, входящим в группу
специальностей «Информационная безопасность»;
государственный образовательный стандарт среднего профессио-
нального образования по специальности «Информационная безопас-
ность» - 2206;
учебные планы подготовки специалистов по конкретным специаль-
ностям;
учебные программы дисциплин и отдельных учебных курсов, про-
граммы итоговой государственной аттестации, относящихся к опре-
деленной специальности;
учебные программы курсов повышения квалификации или курсов
переподготовки специалистов с целью получения дополнительной
квалификации;
учебники, учебные и учебно-методические пособия и лабораторные
практикумы;
информационные материалы, поддерживающие учебный процесс.
81
Основы информационной безопасности
Подсистема управления:
Министерство образования и науки РФ и органы управления, осуще-
ствляющие лицензирование образовательной деятельности высших
учебных заведений;
органы исполнительной власти на региональном уровне, осуществ-
ляющие лицензирование образовательной деятельности, связанной
с дополнительным образованием;
учебно-методические объединения - государственно-общественные
организации, объединяющие представителей учебных заведений,
в которых ведется подготовка специалистов в области информацион-
ной безопасности, а также организаций и ведомств, в интересах ко-
торых эта подготовка осуществляется. Данные объединения куриру-
ют образовательную деятельность различных учебных заведений
и центров с целью обеспечения необходимого уровня подготовки,
соответствующего требованиям, сформулированным в государствен-
ных образовательных стандартах (рис. 1.8);
Министерство образования и науки РФ
Координационный
совет
УМО и НМС
Координационный Совет Минобрнауки России
по проблемам подготовки специалистов в
области защиты государственной тайны
УМО по образованию в области информационной j УМО по образованию в области
безопасности на базе ИКСИ Академии ФСБ России историко-архивоведения на базе РГГУ
------------------------------------------- т
Сиб
РУМО
УМС
090101
УМС
090102
Совет
УМО
УМС
090105
УМС
090106
УМС по
дополни-
тельному
образованию
в области ин-
формационной
безопасности
УМС по
подготовке
специалистов
в области ин-
формационной
безопасности
для силовых
министерств
и ведомств
(закрытые
специальности
и специа-
лизации)
Секция
лицензирования,
аттестации и
сертификации
Секция по
математическим
дисциплинам
Секция по
гуманитарным
проблемам в
области ин-
формационной
безопасности
090101 - Криптография
090102 - Компьютерная безопасность
090105 - Компьютерное обеспечение информационной
безопасности автоматизированных систем
090106 - Информационная безопасность
телекоммуникационных систем
090107 - Противодействие техническим разведкам
Совет
УМО
УМС по
специальности
090103
УМС по
специальности
090104
090103 - Организация и технология
защиты информации
090104 - Комплексная защита
объектов информатизации
Рис. 1.8. Структурная схема учебно-методических объединений вузов в области
информационной безопасности
82
Часть 1. Основы государственной информационной политики
• Координационный совет Министерства образования и науки РФ
по проблемам подготовки кадров в области защиты государственной
тайны и информационной безопасности, в который вошли предста-
вители заинтересованных министерств и ведомств.
7.3. Основные направления учебной деятельности
К основным направлениям учебной деятельности относятся:
• подготовка специалистов с высшим образованием (7 специальностей;
квалификации - математик, специалист по защите информации; срок
обучения - 5 лет или 5,5 года);
• подготовка специалистов со средним профессиональным образова-
нием (одна специальность; квалификация - техник; срок обучения -
2 года 10 мес);
• дополнительное образование: повышение квалификации (72 уч. ч. и
более); дополнительная квалификация (до 500 уч. ч.); переподготовка
(более 500 уч. ч.);
• подготовка кадров высшей квалификации - кандидатов и докторов
наук по специальности «Методы и системы защиты информации,
информационная безопасность» по отраслям физико-математичес-
ких, технических и юридических наук.
Следует отметить, что в ФСБ России, Минобороны России, ФСО
России, МВД России, ФСТЭК России, Министерстве транспорта России,
других министерствах и ведомствах сформировались ведомственные
подсистемы подготовки кадров, по своей структуре аналогичные общей
системе подготовки специалистов в Министерстве образования и науки
РФ. В рамках данных министерств и ведомств имеются образовательные
учреждения, реализующие образовательные программы среднего, выс-
шего, дополнительного и послевузовского профессионального образова-
ния в области информационной безопасности. Данные подсистемы на-
правлены на целевую подготовку кадров в интересах ведомств и по своей
организации, содержанию и развитию имеют определенную специфику.
Взаимодействие данных подсистем осуществляется в рамках Коор-
динационного совета Министерство образования и науки РФ по пробле-
мам подготовки кадров в области защиты государственной тайны и ин-
формационной безопасности, созданного приказом министра образова-
ния РФ от 25.02.2003 г. № 670.
К настоящему времени более 100 вузов осуществляют подготовку
специалистов по специальностям данной группы. Распределение вузов по
83
Основы информационной безопасности
специальностям приведено в табл. 1.1. Подготовкой специалистов охва-
чены все регионы России.
Таблица 1.1. Перечень специальностей ВПО в области ИБ
Специальность Число вузов
Индекс Наименование
075100 Криптография 1
075200 Компьютерная безопасность 27
075300 Организация и технология защиты информации 44
075400 Комплексная защита объектов информатизации 24
075500 Комплексное обеспечение информационной безопасности автоматизированных систем 30
075600 Информационная безопасность телекоммуникационных систем 11
075700 Противодействие техническим разведкам 1
Всего 138
В качестве проблем в области обеспечения информационной безо-
пасности в сфере образования можно выделить 4 направления:
1. Подготовка высококвалифицированных специалистов всех уровней
для структур обеспечения информационной безопасности.
2. Формирование базового уровня понимания правовых и организаци-
онных вопросов взаимодействия личности, общества и государства
в части информационной безопасности.
3. Формирование достаточно высокого уровня подготовки у выпускни-
ков ряда специальностей гуманитарного, управленческого и эконо-
мического направлений в области информационной безопасности.
4. Повышение квалификации и переподготовка в направлении инфор-
мационной безопасности специалистов самого различного уровня
и профиля.
По специальностям группы 075000 «Информационная безопасность»
в дополнение к государственным образовательным стандартам высшего
профессионального образования разработаны примерные учебные планы
и примерные программы дисциплин, требования к учебно-методическому
и материально-техническому обеспечению. Сформирована электронная
база данных обеспеченности ГОС ВПО по специальностям в области ИБ
учебно-методическими изданиями. Разработаны и изданы учебники
и учебные пособия по основным дисциплинам.
84
Часть 1. Основы государственной информационной политики
Литература
1. Концепция национальной безопасности Российской Федерации (ут-
верждена Указом Президента Российской Федерации от 17 декабря
1997 г. № 1300 в редакции Указа Президента Российской Федерации
от 10 января 2000 г. № 24) // Безопасность. 2000. № 1—12
2. Конституция Российской Федерации. М., 1993.
3. Общая теория национальной безопасности: Учеб./ Под общ. ред.
А. А. Прохожева. М.: Изд-во РАГС, 2002. 320 с.
4. Котенев А. А., Лекарев С. B/Современный энциклопедический сло-
варь. Секьюрити. М.: Ягуар, 2001. 504 с.
5. Новейший философский словарь / Сост. А. А. Грицанов. Минск,
1999. С. 274; Всемирная энциклопедия философии. М., 2001. С. 428.
6. Лопатин В. Н. Информационная безопасность России: Человек. Об-
щество. Государство / С-Петерб. ун-т МВД России. СПб.: Фонд
«Университет». 2000. С. 23.
7. Новейший философский словарь / Сост. А. А. Грицанов. Минск,
1999. С. 274; Всемирная энциклопедия философии. М., 2001. С. 428.
8. Стрельцов А. А. Содержание понятия «информация»: Тез. докл. на
заседании Межведомственного междисциплинарного семинара по
науч, проблемам информационной безопасности 13 декабря 2001 г.
9. Кравченко В. Б. Информация - объект или объекты исследования?:
Тез. докл. на заседании Межведомственного междисциплинарного
семинара по науч, проблемам информационной безопасности 13 де-
кабря 2001 г.
10. Хартли Р. Передача информации // Теория информации и ее прило-
жения: Сб. пер. М.: Гос. изд.-во физ.-мат. лит., 1959.
11. Черри К. Человек и информация. М.: Связь, 1972.
12. Винер Н. Кибернетика. М.: Сов. радио, 1958.
13. Доктрина информационной безопасности Российской Федерации.
М., 2000.
14. Веревченко А. П. Информационные ресурсы: определение, основные
понятия, параметры, особенности открытого потока информации,
помехи возникающие в каналах поступления информации //
httD://www.mai.ru/~gr08x07/vaD/verin010.htm.
85
Основы информационной безопасности
15. Елепов Б.С, Чистяков В.М. Управление процессами использования
информационных ресурсов. Новосибирск: Наука. Сиб. отд-ние, 1989.
238 с. С. 3,7.
16. Стенограмма заседания коллегии НАГИ 28 сентября 1926 г.
17. Андрей Николаевич Туполев. Грани дерзновенного творчества. М.:
Наука, 1988. С. 59-60.
18. Мухин Н. Н. Чипига А. Ф. Основы информационной безопасности:
Учеб, пособие (курс лекций). Ставрополь: СевкавГТУ, 2003. 69 с.
19. Военная мысль. 1993. № 10.
20. Гуржеянц Т. В., Дербин Е. А., Крылов Г. О., Кубанков А. Н. Инфор-
мационные операции современности: учеб, пособие. М.: ВАГШ,
2004. 286 с.
21. Шарп М. Р. Человек в космосе / Пер. с англ. М. И. Рохлина и
Л.А. Сливко; Под. ред и с предисл. д-ра мед. наук проф. С. М. Горо-
динского. М.: Мир, 1970. 200 с. с илл. (В мире науки и техники).
22. httD://gazeta.lenta.ru/dossier/06-08-1999 infowar.htm.
23. Расторгуев С. П. Введение в формальную теорию информационной
войны. М.: Вузовская кн., 2002. 120 с.
24. Гриняев С. Н. Интеллектуальное противодействие информационно-
му оружию. Сер. «Информатизация России на пороге XXI века».
М.:СИНТЕГ, 1999.232 с.
25. Панарин И. Н., Панарина Л. Г. Информационная война и мир. М.:
ОЛМА-ПРЕСС, 2003. 384 с.
26. Словарь терминов и определений в области информационной безо-
пасности / Под общ. ред. генерал-майора Костюхина. М.: 2004. 113 с.
27. Война и мир в терминах и определениях / Под. ред. Д. О. Рогозина.
М.: 2004. 624 с.
28. Ленин В. И. Поли. собр. соч. 5 изд. т. 26. С. 224.
29. Гриняев С. Н. Война в четвертой сфере. Превосходство в киберпро-
странстве будет определять победу в конфликтах XXI века // НВО
2000 г. № 42.
30. Безопасность России. Правовые, социально-экономические и науч-
но-технические аспекты. Информационная безопасность. М., 2005.
31. Труд. 2000. № 19. С..5.
86
Часть 2
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
АВТОМАТИЗИРОВАННЫХ СИСТЕМ
1. Современная постановка задачи
защиты информации
Комплексность - решение в рамках единой концепции двух или бо-
лее разноплановых задач (целевая комплексность), или использование
для решения одной и той же задачи разноплановых инструментальных
средств (инструментальная комплексность), или то и другое (всеобщая
комплексность).
Целевая комплексность означает, что система информационной
безопасности должна строиться следующим образом:
• защита информации, информационных ресурсов и систем личности,
общества и государства от внешних и внутренних угроз;
• защита личности, общества и государства от негативного информа-
ционного воздействия.
Инструментальная комплексность подразумевает интеграцию всех
видов и направлений ИБ для достижения поставленных целей. В рамках
прежнего представления о защите информации практически независимо
развивались 4 вида защиты: организационная (режим секретности), тех-
ническая (противодействие техническим средствам разведки), крипто-
графическая и обеспечение компьютерной безопасности. При этом имело
место дублирование решаемых задач.
Структурная комплексность предполагает обеспечение требуемого
уровня защиты во всех элементах системы обработки информации.
Функциональная комплексность означает, что методы защиты долж-
ны быть направлены на все выполняемые функции системы обработки
информации.
Временная комплексность предполагает непрерывность осуществле-
ния мероприятий по защите информации как в процессе непосредствен-
ной ее обработки, так и на всех этапах жизненного цикла объекта обра-
ботки информации.
Можно сформулировать основные требования к системе защиты ин-
формации.
«7
Основы информационной безопасности
1. Система защиты информации должна быть представлена как нечто
целое. Целостность системы будет выражаться в наличии единой це-
ли ее функционирования, информационных связей между элемента-
ми системы, иерархичности построения подсистемы управления
системой защиты информации.
2. Система защиты информации должна обеспечивать безопасность
информации, средств информации, защиту интересов участников
информационных отношений и невозможность несанкционирован-
ного доступа злоумышленника к защищаемой информации.
3. Система защиты информации в целом, применяемые методы и сред-
ства защиты должны быть по возможности прозрачными для закон-
ного пользователя, не создавать ему больших дополнительных не-
удобств, связанных с процедурами доступа к информации.
Система защиты информации должна обеспечивать оценку угроз
внешних дестабилизирующих факторов и защиту от них.
Путь в несколько тысяч ли
начинается с первого шага.
Лао-цзы
2. Организационно-правовое обеспечение
информационной безопасности
2.1. Информация как объект юридической защиты.
Основные принципы засекречивания информации
Организационно-правовое обеспечение^» представляет собою сово-
купность решений, законов, нормативов, регламентирующих как общую
организацию работ по обеспечению ИБ, так и создание и функциониро-
вание систем защиты информации на конкретных объектах. Основные
функции организационно-правовой базы следующие.
1. Разработка основных принципов отнесения сведений, имеющих
конфиденциальный характер, к защищаемой информации.
2. Определение системы органов и должностных лиц,, ответственных
за обеспечение ИБ в стране и порядка регулирования деятельности
предприятия и организации в этой области.
3. Создание полного комплекса нормативно-правовых руководящих
и методических материалов (документов), регламентирующих во-
Часть 2. Информационная безопасность автоматизированных систем
просы обеспечения ИБ как в стране в целом, так и на конкретном
объекте.
4. Определение мер ответственности за нарушения правил защиты.
5. Определение порядка разрешения спорных и конфликтных ситуаций
по вопросам защиты информации.
Под юридическими аспектами организационно-правового обеспече-
ния защиты информации понимается совокупность законов и других
нормативно-правовых актов, с помощью которых достигались бы сле-
дующие цели:
• все правила зашиты информации являются обязательными для со-
блюдения всеми лицами, имеющими отношение к конфиденциальной
информации;
• узакониваются все меры ответственности за нарушение правил защи-
ты информации;
• узакониваются (приобретают юридическую силу) технико-математи-
ческие решения вопросов организационно-правового обеспечения
защиты информации;
• узакониваются процессуальные процедуры разрешения ситуаций,
складывающихся в процессе функционирования системы защиты.
На рис. 2.1-2.3 представлены варианты концептуальных моделей
безопасности продукции, личности и информации. Даже беглый анализ
этих моделей дает представление о многообразии действий и мероприя-
тий по обеспечению ИБ.
- личность
___________- дом, дача
Места ' рабочий кабинет
- - улица
пребывания |Др^сппрт
- общественные места
- хулиганы
- невменяемые! ~----------2
(пьяные, Источники (
наркоманы и др.) угроз [
- преступники
- члены семьи__________
- родственники; объекты
- знакомые
- имущество угроз
- убийства
- насилие
- грабежи
- шантаж
- нападение
- оскорбления
Угрозы
Направления
защиты
Методы
защиты
- самозащита
- личная охрана
- юридическая
- физическая
- информационная
- личности
----------кабинета
Средства квартиры
защиты автомобиля
- гаража
- на жизнь
- на здоровье
- на свободу]
- на личное достоинство
Посягатель-
ства
—--------[ - личное
Время ' рабочее
- отпуск
---------- командировка
- на документы
- на деньги и ценности
Рис. 2.1. Концептуальная модель безопасности личности
89
Основы информационной безопасности
- ознакомление
- подделка
- нарушение технологии
производства
- кража
- пром, шпионаж
- мошенничество
- уничтожение
- сотрудники
- посредники
- поставщики
- преступники
- конкуренты
- продукция
- средства производства
- комплектующие
- информация
- территория
- здания
- цеха, лаборатории
- склады
- транспорт
- правовая
- организационная
- инженерно-техническая
- охрана
- режим
- контроль качества
- учет и контроль
наличия и движения
Рис. 2.2. Концептуальная модель безопасности продукции
- отходы
Рис. 2.3. Концептуальная модель безопасности информации
Разработка законодательной базы ИБ любого государства является
необходимой мерой, удовлетворяющей первейшую потребность в защите
информации при развитии социально-экономических, политических,
военных направлений развития этого государства. Особое внимание
со стороны западных стран к формированию такой базы вызвано все воз-
растающими затратами на борьбу с «информационными» преступления-
ми. Все это заставляет страны Запада серьезно заниматься вопросами за-
конодательства по защите информации. Так, первый закон в этой области
в США был принят в 1906 г., а к настоящему времени уже имеется более
Часть 2, Информационная безопасность автоматизированных систем
500 законодательных актов по защите информации, ответственности за ее
разглашение и компьютерные преступления.
Определение основных принципов отнесения сведений, имеющих кон-
фиденциальный характер, к защищаемой информации. Созданием зако-
нодательной базы в области ИБ каждое государство стремится защитить
свои информационные ресурсы. Информационные ресурсы государства
в самом первом приближении могут быть разделены на три большие
группы:
• информацию открытую - на распространение и использование кото-
рой не имеется никаких ограничений;
• информацию запатентованную - охраняется внутригосударственным
законодательством или международными соглашениями как объект
интеллектуальной собственности;
• информацию, «защищаемую» ее собственником, владельцем с по-
мощью отработанных механизмов защиты государственной, коммер-
ческой или другой охраняемой тайны; к этому виду относят обычно
информацию, не известную другим лицам, которая или не может
быть запатентована, или умышленно не патентуется с целью избежа-
ния или уменьшения риска завладения ее соперниками, конкурентами.
Защищают и охраняют, как правило, не всю или не всякую информа-
цию, а наиболее важную, ценную для собственника, ограничение распро-
странения которой приносит ему какую-то пользу или прибыль, возмож-
ность эффективно решать стоящие перед ним задачи.
Какую информацию относят к защищаемой?
Во-первых, секретную информацию. К секретной информации в на-
стоящее время принято относить сведения, содержащие государственную
тайну.
Во-вторых, конфиденциальную информацию. К этому виду защи-
щаемой информации относят обычно сведения, содержащие коммерче-
скую тайну, а также тайну, касающуюся личной (неслужебной) жизни
и деятельности граждан.
Таким образом, под защищаемой информацией понимают сведения,
на использование и распространение которых введены ограничения их
собственником и характеризуемые понятием «тайна».
Применительно к органам государственной власти и управления под
тайной понимается то, что скрывается от других, что известно опреде-
ленному кругу людей. Иначе говоря, те сведения, которые не подлежат
разглашению, и составляют тайну.
91
Основы информационной безопасности
Основное направление использования этого понятия - засекречива-
ние государством определенных сведений, сокрытие которых от сопер-
ников, потенциального противника дает ему возможность успешно ре-
шать жизненно важные вопросы в области обороны страны, политиче-
ских, научно-технических и иных проблем с меньшими затратами сил
и средств.
К подобному же ввиду тайны относится засекречивание предприяти-
ем, фирмой сведений, которые помогают ему эффективно решать задачи
производства и выгодной реализации продукции.
Сюда же примыкают и тайны личной жизни граждан, обычно гаран-
тируемые государством: тайна переписки, врачебная тайна, тайна денеж-
ного вклада в банке и др. Классификацию информации с точки зрения ее
владельца можно представить в виде таблицы (табл. 2.1). Цветом выде-
лена та информация, защита которой обеспечивается государством.
Таблица 2.1. Классификация информации
Владелец Вид информации
Защищаемая Запатентованная Откры- тая
Секретная Конфиден- циальная Патент Авторское право
Личность «—Личная тайна. <— Персо- нальные данные Патент физиче- ского лица Авторское право физическо- го лица
Общество Коммерче- ская тайна Патент юридиче- ского лица Авторское право юридиче- ского лица
Госу- дарство Государст- венная тайна Служеб- ные сведения Государст- венный патент
Защищают и охраняют, как правило, не всю или не всякую информа-
цию, а наиболее важную, ценную для собственника, ограничение распро-
странения которой приносит ему какую-то пользу или прибыль, возмож-
ность эффективно решать стоящие перед ним задачи. При этом различа-
ют признаки защищаемой информации:
• засекречивать информацию, т. е. ограничивать к ней доступ, может
только ее собственник (владелец) или уполномоченные им на то лица;
92
Часть 2. Информационная безопасность автоматизированных систем
• чем важнее для собственника информация, тем тщательнее он ее за-
щищает; а для того чтобы все, кто сталкивается с этой защищаемой
информацией, знали, что одну информацию необходимо оберегать
более тщательно, чем другую, собственник определяет ей различную
степень секретности;
• защищаемая информация должна приносить определенную пользу ее
собственнику и оправдывать затрачиваемые на ее защиту силы и
средства;
• секретная информация обладает определенным генетическим свой-
ством: если эта информация является основанием для создания новой
информации (документов, изделий и т. и.), то созданная на этой ос-
нове информация является, как правило, секретной.
Отличительным признаком защищаемой информации является то,
что засекречивать ее может только ее собственник (владелец) или упол-
номоченные им на то лица.
Владельцами (собственниками) защищаемой информации могут
быть:
• государство и его структуры (органы); в этом случае к ней относятся
сведения, являющиеся государственной, служебной тайной, иные ви-
ды защищаемой информации, принадлежащей государству или ве-
домству; в их числе могут быть и сведения, являющиеся коммерче-
ской тайной;
• предприятия, товарищества, акционерные общества (в том числе
и совместные) и другие - информация является их собственностью
и составляет коммерческую тайну;
• общественные организации - как правило, партийная тайна, не ис-
ключена также государственная и коммерческая тайна;
• граждане государства (их права - тайна переписки, телефонных и те-
леграфных разговоров, врачебная тайна, персональные данные и др. -
гарантируются государством, личные тайны - их личное дело; следу-
ет отметить, что государство не несет ответственности за сохран-
ность личных тайн).
Понятие «государственная тайна» является одним из важнейших
в системе защиты государственных секретов в любой стране. От ее пра-
вильного определения зависит и политика руководства в области защиты
секретов.
93
Основы информационной безопасности
Определение этого понятия дано в Законе РФ «О государственной
тайне»: «Государственная тайна - защищаемые государством сведения
в области его военной, внешнеполитической, экономической, разведыва-
тельной, контрразведывательной и оперативно-розыскной деятельности,
распространение которых может нанести ущерб безопасности РФ».
Модель определения государственных секретов обычно включает
в себя следующие существенные признаки.
1. Предметы, явления, события, области деятельности, составляющие
государственную тайну.
2. Противник (данный или потенциальный), от которого в основном
осуществляется защита государственной тайны.
3. Указание в законе, перечне, инструкции сведений, составляющих го-
сударственную тайну.
4. Наносимый ущерб обороне, внешней политике, экономике, научно-
техническому прогрессу страны и т. п. В случае разглашения (утеч-
ки) сведений, составляющих государственную тайну.
Какие сведения могут быть отнесены к государственной тайне, опреде-
лено в Указе Президента РФ от 30.11.1995 г. № 1203. К ним отнесены
сведения (указаны лишь разделы): в областях военной, внешнеполитиче-
ской и внешнеэкономической, экономической, научной, разведыватель-
ной, контрразведывательной и оперативно-розыскной деятельности.
Нельзя засекречивать информацию как имеющую статус государст-
венной тайны:
• если ее утечка (разглашение и т. и.) не влечет ущерба национальной
безопасности страны; в нарушение действующих законов;
• если сокрытие информации будет нарушать конституционные и за-
конодательные права граждан;
• для сокрытия деятельности, наносящей ущерб окружающей природ-
ной среде, угрожающей жизни и здоровью граждан. Подробнее этот
перечень содержится в ст. 7 Закона РФ «О государственной тайне».
Какие же используются критерии для отнесения сведений, во-первых,
к государственной тайне, во-вторых, к той или иной степени секретности?
Ответ на этот вопрос дают Правила отнесения сведений, составляю-
щих государственную тайну, к различным степеням секретности, указан-
ные в постановлении Правительства РФ № 870 от 04.09.1995 г.
К сведениям особой важности следует относить сведения, распро-
странение которых может нанести ущерб интересам РФ в одной или не-
скольких областях.
94
Часть 2. Информационная безопасность автоматизированных систем
К совершенно секретным сведениям следует относить сведения, рас-
пространение которых может нанести ущерб интересам министерства
(ведомства) или отраслям экономики РФ в одной или нескольких облас-
тях.
К секретным сведениям следует относить все иные из числа сведе-
ний, составляющих государственную тайну. Ущерб может быть нанесен
интересам предприятия, учреждения или организации.
Как видно из изложенного, разница между тремя степенями секрет-
ности зависит от величины ущерба.
Понятие, виды и размер ущерба разработаны пока еще недостаточно
и, видимо, будут отличны для каждого конкретного объекта защиты - со-
держания сведений, составляющих государственную тайну, сущности
отраженных в ней фактов, событий, явлений действительности. В зави-
симости от вида, содержания и размеров ущерба можно выделить группы
некоторых видов ущерба при утечке (или возможной утечке) сведений,
составляющих государственную тайну.
Политический ущерб может наступить при утечке сведений полити-
ческого и внешнеполитического характера, о разведывательной деятель-
ности спецслужб государства и др. Политический ущерб может выра-
жаться в том, что в результате утечки информации могут произойти серь-
езные изменения в международной обстановке не в пользу РФ, утрата
страной политических приоритетов в каких-то областях, ухудшение от-
ношений с какой-либо страной или группой стран и т. д.
Экономический ущерб может наступить при утечке сведений любого
содержания: политического, экономического, военного, научно-техничес-
кого и т. д. Экономический ущерб может быть выражен прежде всего
в денежном исчислении. Экономические потери от утечки информации
могут быть прямыми и косвенными.
Так, прямые потери могут наступить в результате утечки секретной
информации о системах вооружения, обороны страны, которые в резуль-
тате этого практически потеряли или утратили свою эффективность
и требуют крупных затрат на их замену или переналадку.
Косвенные потери чаще всего выражаются в виде размера упущен-
ной выгоды: срыв переговоров с иностранными фирмами, о выгодных
сделках с которыми ранее была договоренность; утрата приоритета в на-
учном исследовании, в результате соперник быстрее довел свои исследо-
вания до завершения и запатентовал их и т. д.
Моральный ущерб, как правило, неимущественного характера насту-
пает от утечки информации, вызвавшей или инициировавшей противо-
правную государству пропагандистскую кампанию, подрывающую репу-
тацию страны, приведшую к выдворению из каких-то государств наших
95
Основы информационной безопасности
дипломатов, разведчиков, действовавших под дипломатическим прикры-
тием, и т. и.
Проблема засекречивания информации и определения степени сек-
ретности сведений, документов, изделий и работ является одной из
стержневых во всей деятельности по защите информации. Она имеет
большое государственное значение, определяет методологию и методику
защиты информации, объем работ по ее защите и другие обстоятельства,
связанные с деятельностью государственных органов, предприятий и ор-
ганизаций в этой области. Правила засекречивания информации опреде-
ляют в конечном счете политику государства в области защиты секретов.
Этим и объясняется, что перечни сведений, составляющих государствен-
ную тайну, утверждаются у нас в стране на самом высоком уровне, в них
находит отражение концепция руководства страны в области защиты го-
сударственных секретов.
Засекречивать информацию имеют право органы власти, управления
и должностные лица, наделенные соответствующими полномочиями. Они
• осуществляют политику государства в области защиты информации;
• определяют категории сведений, подлежащих защите и, следова-
тельно, засекречиванию, и закрепляют это в законодательных актах;
• разрабатывают перечни сведений, подлежащих засекречиванию;
• определяют степени секретности дшументов, изделий, работ и све-
дений и проставляют на носителях защищаемой информации соот-
ветствующие грифы секретности.
Таким образом, засекречивание информации - это совокупность ор-
ганизационно-правовых мер, регламентированных законами и другими
нормативными актами, по введению ограничений на распространение
и использование информации в интересах ее собственника (владельца).
Обозначим кратко основные принципы засекречивания информации.
1. Законность засекречивания информации. Заключается в осуществле-
нии его строго в рамках действующих законов и других подзакон-
ных нормативных актов. Отступление от этого принципа может на-
нести серьезный ущерб интересам защиты информации, интересам
личности, общества и государства, в частности незаконным сокры-
тием от общества информации, не требующей засекречивания, или
утечки важной информации.
2. Обоснованность засекречивания информации. Заключается в уста-
новлении путем экспертной оценки целесообразности засекречива-
ния конкретных сведений, вероятных экономических или иных по-
96
Часть 2. Информационная безопасность автоматизированных систем
следствий этого акта, исходя из баланса жизненно важных интересов
личности, общества и государства. Неоправданно засекречивать ин-
формацию, вероятность раскрытие которой превышает возможность
сохранения ее в тайне.
3. Своевременность засекречивания информации. Заключается в уста-
новлении ограничений на распространение этих сведений с момента
их получения (разработки) или заблаговременно.
4. Подчиненность ведомственных мероприятий по засекречиванию
информации общегосударственным интересам. Это в первую оче-
редь относится к области защиты государственной тайны. Что каса-
ется коммерческой тайны, то предприятия наделены правами засек-
речивания информации, кроме оговоренных в законе случаев.
В РФ в соответствии с Законом «О государственной тайне» склады-
вается в настоящее время следующая форма засекречивания информации.
Закон определяет категории сведений, отнесенных к государственной
тайне, затем президент РФ на основе предложений правительства РФ ут-
верждает два перечня: Перечень должностных лиц органов государст-
венной власти и управления, наделенных полномочиями по отнесению
сведений к государственной тайне, и Перечень сведений, отнесенных
к государственной тайне - для осуществления единой государственной
политики в области засекречивания информации.
Руководители, наделенные полномочиями по засекречиванию ин-
формации, утверждают своими приказами перечни сведений, подлежа-
щих засекречиванию, в соответствии с их отраслевой, ведомственной или
программно-целевой принадлежностью. Они же наделяются полномо-
чиями распоряжения этими сведениями, пересмотра степени их секрет-
ности и рассекречивания.
Предприятия при определении степени (грифа) секретности докумен-
тов. изделий, работ по-прежнему будут руководствоваться перечнями
сведений, подлежащих засекречиванию. Таким образом, до исполнителей
будут доводиться стратегические установки на применение режимных
ограничений в конкретных ситуациях. Рассмотренный порядок засекре-
чивания сведений представлен на рис. 2.4.
Степень секретности и конфиденциальности информации, отобра-
женной в документах, изделиях и т. д., не остается постоянной. Она
обычно уменьшается и, реже (например, дщументы представляют исто-
ричсску ю и иную ценность), может увеличиваться. Степень секретности
и конфиденциальности информации периодически должна пересматри-
ваться. При этом она может быть увеличена, снижена до фактической
или рассекречена вообще.
97
Основы информационной безопасности
Органы государственной
власти
Правовые
акты
Рис. 2.4. Порядок засекречивания информации, составляющей
государственную тайну
Рассекречивание конфиденциальной и секретной информации, работ,
документов, изделий - это деятельность предприятий по снятию (частич-
ному или полному) ограничений на доступ к ранее засекреченной ин-
формации, на доступ к ее носителям, вызываемая требованиями законов
и объективными факторами: изменением международной и внутригосу-
дарственной обстановки, появлением более совершенных видов опреде-
ленной техники, снятием изделий с производства, передачей (продажей)
научно-технических решений оборонного характера в народное хозяйст-
во, продажей изделия за границу и т. д., а также взятием государством на
себя международных обязательств по открытому обмену сведениями, со-
ставляющими в РФ государственную тайну. Информация должна оста-
ваться секретной или конфиденциальной до тех пор, пока этого требуют
интересы национальной безопасности или конкурентной и коммерческой
деятельности предприятия.
Принципиальные аспекты рассекречивания информации могут быть
изложены в следующих основных положениях.
1. Информация не подлежит засекречиванию, а засекреченная должна
быть рассекречена, если это сделано необоснованно и в нарушение
действующих законов, в целях сокрытия нарушений законности,
98
Часть 2. Информационная безопасность автоматизированных систем
в результате неумелого руководства и должностных ошибок, нару-
шения конституционных и других законодательных прав граждан.
2. Информация рассекречивается не позднее сроков, установленных
при ее засекречивании. Ранее этих сроков подлежит рассекречива-
нию лишь информация, которая попадает под действие взятых РФ
на себя международных обязательств по открытому обмену инфор-
мацией. Срок засекречивания информации, отнесенной к государст-
венной тайне, не должен превышать 30 лет. Правом продления
сроков засекречивания информации наделяются руководители цен-
тральных органов федеральной исполнительной власти, осущест-
вившие отнесение соответствующих сведений к государственной
тайне.
3. Информация не подлежит засекречиванию, а засекреченная должна
быть рассекречена, если содержащиеся в ней новые научные, про-
ектные, технологические и т. и. разработки находятся ниже мирово-
го технологического уровня или достаточно подробно раскрыты
в опубликованной зарубежной или в отечественной литературе.
4. Рассекречиванию (разглашению) не подлежат сведения, затраги-
вающие личную (неслужебную) жизнь граждан страны, если на об-
ратное не имеется согласия самих граждан, а в случае их смерти - их
ближайших родственников. Иной порядок такого рассекречивания
рассматривается через суд.
2.2. Государственная система правового обеспечения
защиты информации в Российской Федерации
Второй функцией организационно-правового обеспечения информа-
ционной безопасности является определение системы органов и должно-
стных лиц, ответственных за обеспечение информационной безопасности
в стране. Основой для создания государственной системы организацион-
но-правового обеспечения защиты информации является создаваемая
в настоящее время государственная система защиты информации, под
которой понимается совокупность федеральных и иных органов управле-
ния и взаимоувязанных правовых, организационных и технических мер,
осуществляемых на различных уровнях управления и реализации инфор-
мационных отношений и направленных на обеспечение безопасности
информационных ресурсов.
Основные положения правового обеспечения защиты информации
приведены в Доктрине информационной безопасности РФ, а также
в других законодательных актах.
99
Основы информационной безопасности
Под информационной безопасностью РФ понимается состояние за-
щищенности ее национальных интересов в информационной сфере, оп-
ределяющихся совокупностью сбалансированных интересов личности,
общества и государства.
Напомним содержание интересов личности, общества и государства
в информационной сфере.
Интересы личности в информационной сфере заключаются в реали-
зации конституционных прав человека и гражданина на доступ к инфор-
мации, на использование информации в интересах осуществления
не запрещенной законом деятельности, физического, духовного и интел-
лектуального развития, а также в защите информации, обеспечивающей
личную безопасность.
Интересы общества в информационной сфере заключаются в обеспе-
чении интересов личности в этой сфере, упрочении демократии, создании
правового социального государства, достижении и поддержании общест-
венного согласия, в духовном обновлении России.
Интересы государства в информационной сфере заключаются в соз-
дании условий для гармоничного развития российской информационной
инфраструктуры, для реализации конституционных прав и свобод чело-
века и гражданина в области получения информации и пользования ею
в целях обеспечения незыблемости конституционного строя, суверените-
та и территориальной целостности России, политической, экономической
и социальной стабильности, в безусловном обеспечении законности
и правопорядка, развитии равноправного и взаимовыгодного междуна-
родного сотрудничества.
На основе национальных интересов РФ в информационной сфере
формируются стратегические и текущие задачи внутренней и внешней
политики государства по обеспечению информационной безопасности.
Рассмотрим структуру государственной системы информационной
безопасности, представленную на рис. 2.5, и основные функции ее со-
ставных частей.
Основным органом, координирующим действия государственных
структур по вопросам защиты информации, является Межведомственная
комиссия по защите государственной тайны, созданная Указом Прези-
дента РФ № 1108 от 8.11.1995 г. Она действует в рамках Государствен-
ной системы защиты информации от утечки по техническим каналам, по-
ложение о которой введено в действие постановлением Правительства РФ
от 15.09.1993 г. №912-51. В этом постановлении определены структура,
задачи и функции, а также организация работ по защите информации
применительно к сведениям, составляющим государственную тайну. Ос-
новной задачей Государственной системы защиты информации является
100
Часть 2. Информационная безопасность автоматизированных систем
проведение единой технической политики, организация и координация
работ по защите информации в оборонной, экономической, политиче-
ской, научно-технической и других сферах деятельности страны.
НОРМЫ УПРАВЛЕНИЕ КОНТРОЛЬ
Международное право —> Организация Объединенных Наций Международный суд
Г Совет безопасности ООН 1
Федеральное за- конодательство —> Президент РФ Совет безопасности < — Конституцион- ный суд
Государственная дума Межведомственная комиссия по защите государственной тайны ФСТЭК, ФСБ, СВР и др. Верховный суд Генеральная прокуратура
Ведомственные нормативные акты —> Органы государственного управления 4 Суды
Органы по защите информации Прокуратура
Инструктивно^- методические ' документы —> Руководитель, объединения, подразделения Административ- ные органы
Органы по защите
информации
Рис. 2.5. Структура государственной системы информационной безопасности
Общая организация и координация работ в стране по защите инфор-
мации, обрабатываемой техническими средствами, осуществляется Фе-
деральная служба по техническому и экспортному контролю (ФСТЭК
России).
ФСТЭК России является федеральным органом исполнительной вла-
сти, осуществляющим реализацию государственной политики, организа-
цию межведомственной координации и взаимодействия, специальные
и контрольные функции в области государственной безопасности по сле-
дующим вопросам в области обеспечения информационной безопасности:
1) обеспечению безопасности информации в системах информацион-
ной и телекоммуникационной инфраструктуры, оказывающих сущест-
венное влияние на безопасность государства в информационной сфере;
101
Основы информационной безопасности
2) противодействию иностранным техническим разведкам на терри-
тории РФ;
3) обеспечению защиты (некриптографическими методами) инфор-
мации, содержащей сведения, составляющие государственную тайну,
иной информации с ограниченным доступом, предотвращению ее утечки
по техническим каналам, несанкционированного доступа к ней, специ-
альньгх воздействий на информацию (носители информации) в целях ее
добьгвания, уничтожения, искажения и блокирования доступа к ней
на территории РФ;
4) защите информации при разработке, производстве, эксплуатации
и утилизации неинформационньгх излучающих комплексов, систем и уст-
ройств.
Основньгми задачами в области обеспечения информационной безо-
пасности для ФСТЭК России являются:
1) реализация в пределах своей компетенции государственной поли-
тики в области обеспечения безопасности информации в ключевьгх сис-
темах информационной инфраструктурьг, противодействия техническим
разведкам и технической защитьг информации;
2) осуществление государственной научно-технической политики
в области защитьг информации при разработке, производстве, эксплуата-
ции и утилизации неинформационньгх излучающих комплексов, систем
и устройств;
3) организация деятельности государственной системы противодей-
ствия техническим разведкам и технической защитьг информации на фе-
деральном, межрегиональном, региональном, отраслевом и объектовом
уровнях, а также руководство указанной государственной системой;
4) осуществление самостоятельного нормативно-правового регули-
рования вопросов: обеспечения безопасности информации в ключевьгх
системах информационной инфраструктурьг; противодействия техниче-
ским разведкам; технической защитьг информации; размещения и ис-
пользования иностранных технических средств наблюдения и контроля
в ходе реализации международных договоров РФ, иных программ и про-
ектов на территории РФ, на континентальном шельфе и в исключитель-
ной экономической зоне РФ; координации деятельности органов госу-
дарственной власти по подготовке развернутых перечней сведений, под-
лежащих засекречиванию, а также методического руководства этой
деятельностью;
5) обеспечение в пределах своей компетенции безопасности инфор-
мации в ключевьгх системах информационной инфраструктурьг, противо-
102
Часть 2. Информационная безопасность автоматизированных систем
действия техническим разведкам и технической защиты информации
в аппаратах федеральных органов государственной власти и органов го-
сударственной власти субъектов РФ, в федеральных органах исполни-
тельной власти, органах исполнительной власти субъектов РФ, органах
местного самоуправления и организациях;
6) прогнозирование развития сил, средств и возможностей техниче-
ских разведок, выявление угроз безопасности информации;
7) противодействие добыванию информации техническими средст-
вами разведки, техническая защита информации;
8) осуществление координации деятельности федеральных органов
исполнительной власти, органов исполнительной власти субъектов РФ
и организаций по государственному регулированию размещения и ис-
пользования иностранных технических средств наблюдения и контроля
в ходе реализации международных договоров РФ, иных программ и про-
ектов на территории РФ, на континентальном шельфе и в исключитель-
ной экономической зоне РФ;
9) осуществление в пределах своей компетенции контроля деятель-
ности по обеспечению безопасности информации в ключевых системах
информационной инфраструктуры, по противодействию техническим
разведкам и по технической защите информации в аппаратах федераль-
ных органов государственной власти и органов государственной власти
субъектов РФ, в федеральных органах исполнительной власти, органах
исполнительной власти субъектов РФ, органах местного самоуправления
и организациях;
10) осуществление центральным аппаратом ФСТЭК России органи-
зационно-технического обеспечения деятельности Межведомственной
комиссии по защите государственной тайны.
ФСТЭК России в своей деятельности руководствуется Конституцией
РФ, федеральными конституционными законами, федеральными закона-
ми, актами президента РФ и правительства РФ, международными дого-
ворами РФ, приказами и директивами министра обороны РФ в части, ка-
сающейся ФСТЭК России, настоящим положением о ФСТЭК России,
а также другими нормативными правовыми актами РФ, касающимися
деятельности ФСТЭК России.
Нормативные правовые акты и методические документы, изданные
по вопросам деятельности ФСТЭК России, обязательны для исполнения
аппаратами федеральных органов государственной власти и органов го-
сударственной власти субъектов РФ, федеральными органами исполни-
103
Основы информационной безопасности
тельной власти, органами исполнительной власти субъектов РФ, органа-
ми местного самоуправления и организациями.
ФСТЭК России осуществляет свою деятельность во взаимодействии
с другими федеральными органами исполнительной власти, органами ис-
полнительной власти субъектов РФ, органами местного самоуправления
и организациями.
Обеспечение информационной безопасности является одним из ос-
новных направлений деятельности органов Федеральной службы безо-
пасности.
Обеспечение информационной безопасности осуществляется ими
в пределах своих полномочий:
• при формировании и реализации государственной и научно-техни-
ческой политики в области обеспечения информационной безопасно-
сти, в том числе с использованием инженерно-технических и крипто-
графических средств;
• при обеспечении криптографическими и инженерно-техническими
методами безопасности информационно-телекоммуникационных сис-
тем, а также систем шифрованной, засекреченной и иных видов спе-
циальной связи в РФ и ее учреждениях, находящихся за пределами РФ.
ФСБ России предоставлено право:
1) осуществлять в соответствии со своей компетенцией регулирова-
ние в области разработки, производства, реализации, эксплуатации шиф-
ровальных (криптографических) средств и защищенных с использовани-
ем шифровальных средств систем и комплексов телекоммуникаций, рас-
положенных на территории РФ, а также в области предоставления услуг
по шифрованию информации в РФ, выявления электронных устройств,
предназначенных для негласного получения информации, в помещениях
и технических средствах;
2) осуществлять государственный контроль за организацией и функ-
ционированием криптографической и инженерно-технической безопас-
ности информационно-телекоммуникационных систем, систем шифро-
ванной, засекреченной и иных видов специальной связи, контроль за
соблюдением режима секретности при обращении с шифрованной ин-
формацией в шифровальных подразделениях государственных органов
и организаций на территории РФ и в ее учреждениях, находящихся за
пределами РФ, а также в соответствии со своей компетенцией контроль
за обеспечением защиты особо важных объектов (помещений) и находя-
щихся в них технических средств от утечки информации по техническим
каналам;
104
Часть 2. Информационная безопасность автоматизированных систем
3) участвовать в определении порядка разработки, производства, реа-
лизации, эксплуатации и обеспечения защиты технических средств обра-
ботки, хранения и передачи информации ограниченного доступа, предна-
значенных для использования в учреждениях РФ, находящихся за ее пре-
делами;
4) обеспечивать выявление устройств перехвата информации на осо-
бо важных объектах (в помещениях) и технических средствах, предна-
значенных для использования в федеральных органах государственной
власти.
Служба внешней разведки РФ для осуществления своей деятельности
может при собственных лицензировании и сертификации приобретать,
разрабатывать (за исключением криптографических средств защиты),
создавать, эксплуатировать информационные системы, системы связи
и системы передачи данных, а также средства зашиты информации от
утечки по техническим каналам.
Министерство обороны (Минобороны России) организует деятель-
ность по обеспечению информационной безопасности, защите государст-
венной тайны в Вооруженных силах, а также в установленном порядке
в пределах своей компетенции работы по сертификации средств защиты
информации.
Другие органы государственного управления (министерства, ведом-
ства) в пределах своей компетенции:
• определяют перечень охраняемых сведений;
• обеспечивают разработку и осуществление технически и экономиче-
ски обоснованных мер по защите информации на подведомственных
предприятиях;
• организуют и координируют проведение НИОКР в области защиты
информации в соответствии с государственными (отраслевыми) про-
граммами;
• разрабатывают отраслевые документы по защите информации;
• контролируют выполнение на предприятиях отрасли установленных
норм и требований по защите информации;
• создают отраслевые центры по защите информации и контролю эф-
фективности принимаемых мер;
• организуют подготовку и повышение квалификации специалистов
по защите информации.
105
Основы информационной безопасности
Для осуществления указанных функций в составе органов государст-
венного управления функционируют научно-технические подразделения
(центры) защиты информации и контроля.
На предприятиях, выполняющих оборонные и иные секретные рабо-
ты, функционируют научно-технические подразделения защиты инфор-
мации и контроля, координирующие деятельность в этом направлении
научных и производственных структурных подразделений предприятия,
участвующие в разработке и реализации мер по защите информации,
осуществляющие контроль эффективности этих мер.
Кроме того, в отраслях промышленности и в регионах страны созда-
ются и функционируют лицензионные центры, осуществляющие органи-
зацию и контроль за лицензионной деятельностью в области оказания
услуг по защите информации, органы по сертификации средств вычисли-
тельной техники и средств связи, испытательные центры по сертифика-
ции конкретных видов продукции по требованиям безопасности инфор-
мации, органы по аттестации объектов информатики.
Государственная система обеспечения информационной безопасно-
сти создается для решения следующих проблем, требующих законода-
тельной поддержки:
• защита персональных данных;
• борьба с компьютерной преступностью, в первую очередь в финан-
совой сфере;
• защита коммерческой тайны и обеспечение благоприятных условий
для предпринимательской деятельности;
• защита государственных секретов;
• создание системы взаимных финансовых расчетов в электронной
форме с элементами цифровой подписи;
• обеспечение безопасности АСУ потенциально опасных производств;
• страхование информации и информационных систем;
• сертификация и лицензирование в области безопасности, контроль
безопасности информационных систем;
• организация взаимодействия в сфере защиты данных со странами-
членами СНГ и другими государствами.
Анализ современного состояния информационной безопасности
в России показывает, что уровень ее в настоящее время не соответствует
жизненно важным потребностям личности, общества и государства.
106
Часть 2. Информационная безопасность автоматизированных систем
Такое положение дел в области обеспечения информационной безо-
пасности требует безотлагательного решения ряда ключевых проблем.
1. Формирование законодательной и нормативно-правовой базы обес-
печения информационной безопасности, в том числе разработка рее-
стра информационного ресурса, регламента информационного обме-
на для органов государственной власти и управления, нормативного
закрепления ответственности должностных лиц и граждан по со-
блюдению требований информационной безопасности.
2. Разработка механизмов реализации прав граждан на информацию.
3. Формирование системы информационной безопасности, обеспечи-
вающей реализацию государственной политики в этой области.
4. Совершенствование методов и технических средств, обеспечиваю-
щих комплексное решение задач защиты информации.
5. Разработка критериев и методов оценки эффективности систем
и средств информационной безопасности.
6. Исследование форм и способов цивилизованного воздействия госу-
дарства на формирование общественного сознания.
7. Комплексное исследование деятельности персонала информацион-
ных систем, в том числе методов повышения мотивации, морально-
психологической устойчивости и социальной защищенности людей,
работающих с секретной и конфиденциальной информацией.
Разработка правового обеспечения защиты информации идет по трем
направлениям.
1. Защита прав личности на частную жизнь.
2. Защита государственных интересов.
3. Защита предпринимательской и финансовой деятельности.
Структура нормативной базы по вопросам информационной безопас-
ности включает:
• Конституцию РФ;
• федеральные законы и законы РФ;
• кодексы РФ (уголовный, гражданский, об административных право-
нарушениях);
• постановления правительства РФ;
• ведомственные нормативные акты, ГОСТы, руководящие документы.
107
Основы информационной безопасности
Среди федеральных законов отметим следующие:
• «О государственной тайне»;
• «О безопасности»;
• «О лицензировании отдельных видов деятельности»;
• «Об информации, информатизации и защите информации»;
• «О правовой охране программ для электронных вычислительных
машин и баз данных»;
• «О техническом регулировании»;
• «Об участии в международном информационном обмене»;
• «О связи»;
• «Об органах Федеральной службы безопасности в РФ»;
• «О коммерческой тайне»;
• «Об электронной цифровой подписи».
Пора чудес прошла, и нам
подыскивать приходится причины
всему, что совершается на свете.
У. Шекспир
3. Информационные системы
XXI в. пройдет под знаком все усиливающейся экспансии информа-
ционной технологии в самые различные области человеческой деятель-
ности, включая экономику, промышленность, управление, образование
и культуру. Сами понятия информации, информационных процессов,
информационных систем все шире используются в науке и практике. Се-
годня мало кто сомневается в определяющей роли информации в теории
искусственного интеллекта, в науке об ЭВМ, теории связи и коммуника-
ции, в теории управления. А такие производные понятия, как «эра ин-
формации», «глобальная информационная революция», «информацион-
ное общество», «информационный взрыв», «информационный кризис»,
все чаще встречаются не только в научно-теоретической литературе, но
и в СМИ.
Все это свидетельствует о том, что наступила новая эра, где объек-
тивным началом и основанием стало не вещество или энергия, а инфор-
мация. На смену материальному (физическому) миру с его законами и
системой ценностей пришел более сущностный информационный мир.
108
Часть 2. Информационная безопасность автоматизированных систем
На смену материальной цивилизации, так долго господствовавшей во
всемирной истории, пришла информационная цивилизация, известившая
начало периода информации: «всеобщего и неизбежного периода разви-
тия человеческой цивилизации, периода освоения его информационной
картины мира, осознания единства законов функционирования информа-
ции в природе и обществе, практического их применения, создания инду-
стрии производства и обработки информации в виде разнообразных ин-
формационных систем» [15]. В современных условиях резко возрастает
роль информационных процессов как в производстве, ориентированном
на гибкую автоматизацию, так и в духовной сфере, использующей еще
традиционные информационные средства и все шире переходящей на ис-
пользование современных средств автоматизации. Не малую роль здесь
играют факторы организации информационной среды, оптимальное оп-
ределение путей движения информации как товара, проблемы обеспече-
ния ее безопасности.
Последние десятилетия научный и технический прогресс связан
со все более глубоким и широким рассматриванием различных свойств
информации. Наряду с философскими и математическими проблемами
информации большое внимание уделяется различным инженерным
проблема ее использования (вопросы передачи, преобразования,
хранения и т. д.), обеспечения целостности, достоверности и защиты от
различного рода угроз.
Основным инструментом работы с информационными потоками се-
годня выступают информационные способы, предназначенные не только
для информационных преобразований, сбора и передачи информации, но
и для качественного, своевременного и достоверного удовлетворения
информационных потребностей пользователей этих систем.
3.1. Общие положения
Интенсивно развивающиеся процессы переустройства нашего обще-
ственного бытия и сознания требуют высокого уровня информированно-
сти общества, его организаций и граждан во всех областях экономиче-
ской, политической и социальной действительности. Такой процесс сего-
дня принято называть информатизацией.
Информатизация - организационный социально-экономический
и научно-технический процесс создания оптимальных условий для удов-
летворения информационных потребностей и реализации прав граждан,
органов государственной власти, органов местного самоуправления, ор-
ганизаций, общественных объединений на основе формирования и ис-
пользования информационных ресурсов.
109
Основы информационной безопасности
Информатизация базируется на национальных информационных ре-
сурсах и обеспечивается посредством информационных систем и теле-
коммуникационных сетей. Появление телекоммуникационных сетей соз-
дало технические предпосылки для развития информационных систем,
использующих коммуникационные ресурсы для обеспечения доступа
к информационным ресурсам. Таким образом, информационные системы
и сети, средства связи, передачи информации и телекоммуникации со-
ставляют инфраструктуру информатизации [9]. Компоненты информант
представлены на рис. 2.6.
"’ИнформаЗйзация
Процесс обеспечения информационных
потребностей общества на основе применения
новейших информационных технологий
Реализуются на базе информа-
ционных технологий с исполь-
зованием средств вычислительной
техники, информатики и связи
Реализуются на базе информа-
ционных технологий с исполь-
зованием традиционных методов
информационного взаимодействия
__________I...
____ Информационные
___________ресурсы
Отдельные документы и отдельные
массивы документов, документы и
массивы документов в
информационных системах
(библиотеках, архивах, фондах,
банках, банках данных, других
информационных системах)
_____________I__________
___ Информационные _________
системы
Информационные системы -
организационно-упорядоченная
совокупность людей, информа-
ционных ресурсов, технических
средств и технологий обработки
информации, имеющая своей
целью сбор, обработку, накоп-
ление, хранение, актуализацию,
поиск и выдачу информации в
традиционном или авто-
матизированном режимах
Рис, 2,6, Компоненты информатизации
При любом рассмотрении вопросов управления производственной
деятельностью центральное место занимает информация или информа-
ционная потребность.
В самом общем виде при решении проблемы удовлетворения инфор-
мационной потребности необходимо иметь в виду три компонента: чело-
века (потребителя информации), который формулирует свои задачи; ин-
формационный фонд (информационный ресурс), в котором сосредоточе-
на необходимая человеку информация, и соответствующее устройство,
Часть 2. Информационная безопасность автоматизированных систем
которое является посредником между потребителем и информационным
массивом. Это устройство и называется информационной системой.
Чтобы объяснить понятие «информационная система» напомним, что
любое предприятие или любая организация - система, в которой проис-
ходят сложные процессы преобразования материалов в готовую продук-
цию, обращаются потоки сырья, полуфабрикатов, инструмента, трудовых
затрат, денежных средств и т. д. И все это отражается в управлении. Та-
ким образом, управление и планирование, в свою очередь, являются сис-
темой, которая информирует нас обо всем, что происходит на предпри-
ятии. В ней также происходит преобразование, только не материалов,
а информации. Это и будет информационная система [12].
Информационная система, как и любая другая, обладает определен-
ной структурой, составом, специалистами, средствами, оборудованием
и порядком функционирования; структура информационной системы
представлена на рис. 2.7.
Пользо-
ватели
Информа-
ционные
ресурсы
Носители
информацрм
Средства
передачи
информации
Пользо-
ватель -
субъект,
обращаю-
щийся к
информа-
ционной
системе за
получением
необходимой
ему
информации
Документы
и массивы
документов
в разных
формах и
видах
(библиотеки,
архивы,
фонды,базы
данных, базы
знаний,а
равно и дру-
гие формы
организации,
хранения и
поиска ин-
формации),
1. На бумаж-
ной основе
2. Звуко-
носители
3. Фото-
носители
4. Видео-
носители
5. Магнитные
носители
6. Специаль-
ные техни-
ческие
носители
Средства
сбора,
хранения и ’
обработки
информации
1 .Традици-
онные техни-
ческие
средства:
- телефон
-радио
- звукоуси-
лительные
системы
- полиграфия
2. Автомати-
зированные
системы
сбора и
обработки
информации
1. Проводные
2. Радио
3. Волоконно-
оптические
содержащие
информацию
по всем на-
правлениям
жизнеде-
ятельности
общества
Рис. 2.7. Структура информационной системы
Основы информационной безопасности
Таким образом, мы приходим к определению информационной сис-
темы [31]. Информационная система - это организационно упорядо-
ченная совокупность информационных ресурсов, технических средств,
технологий, реализующих информационные процессы в традиционном
или автоматизированном режиме для удовлетворения информационных
потребностей пользователей.
Продуктом информационной системы является информация, свойст-
ва которой изменяются в соответствии с заданной технологией с помо-
щью комплекса различных технических средств и людей, выполняющих
определенные технологические операции. Известно, что технологические
операции - это совокупность действий, направленных на изменение со-
стояния предмета производства. В информационной системе предметом
производства является информация, которая на выходе системы приво-
дится к нужному пользователю виду и содержанию [23].
Исходной материальной основой работы информационной системы
выступают информационные ресурсы. Ресурсами, как известно, называ-
ют элементы экономического потенциала, которыми располагает обще-
ство и которые при необходимости могут быть использованы для дости-
жения конкретных целей хозяйственного и социального развития. Давно
стали привычными такие категории, как материальные, финансовые, тру-
довые, природные, энергетические ресурсы. Эти ресурсы вовлекаются
в хозяйственный оборот, и их назначение понятно каждому. В последние
годы появилось и все больше осознается понятие «информационные ре-
сурсы». Под информационными ресурсами понимаются документы
и массивы документов в разных формах и видах (библиотеки, архивы,
фонды, базы данных, базы знаний, а равно и другие формы организации,
хранения и поиска информации), содержащие информацию по всем на-
правлениям жизнедеятельности общества [9].
Информационные ресурсы могут быть фиксированными и нефикси-
рованными. Фиксированные информационные ресурсы представляют со-
бой информацию, закрепленную на каком-нибудь физическом носителе,
а нефиксированные - знания, которыми владеют люди (ученые, специа-
листы, работники), так или иначе участвующие в общественном произ-
водстве и способные передавать эти знания другим участникам произ-
водственного процесса или криминального устремления.
Функциональной основой любой информационной системы являются
информационные процессы. Под информационными процессами пони-
мается совокупность взаимосвязанных и взаимообусловленных процес-
сов выявления, анализа, ввода и отбора информации, выдачи с помо-
щью различных средств ее потребителю для принятия управленческо-
го решения.
112
Часть 2. Информационная безопасность автоматизированных систем
3.2. Информация как продукт
Как и всякий продукт, информация имеет потребителей, нуждаю-
щихся в ней, и потому обладает определенными потребительскими каче-
ствами, а также имеет своих обладателей (владельцев).
С точки зрения потребителя качество используемой при управлении
производством информации позволит получить дополнительный эконо-
мический или социально-моральный эффект.
С точки зрения обладателя - сохранение в тайне коммерчески важной
информации позволяет успешно конкурировать на рынке производства
и сбыта товаров и услуг.
Так что же такое информация? Какими свойствами она обладает?
Информация - это сведения о лицах, предметах, событиях, явлениях
и процессах (независимо от формы их представления), отраженные
на материальных носителях, используемые в целях получения знаний
и практических решений.
Наиболее важными в практическом плане свойствами информации
является: ценность, достоверность, своевременность.
Ценность информации определяется обеспечением возможности дос-
тижения цели, поставленной перед получателем.
Достоверность - соответствие полученной информации действитель-
ной обстановке.
Своевременность, т. е. соответствие ценности и достоверности опре-
деленному временному периоду.
Эффективность принимаемых решений определяется, кроме того,
системой факторов, характеризующих показатели информации. Среди
них можно выделить такие, как:
• внутренние свойства (достоверность и кумулятивность), сохраняю-
щиеся при переносе данных в другую среду (систему);
• внешние свойства (временные свойства и свойства защищенности,
которые характерны для данных, находящихся (используемых) в оп-
ределенной среде (системе), и которые исчезают при их переносе
в другую систему [8].
Рассмотрим подробнее приведенные свойства информации (рис. 2.8).
Достоверность. В свойстве достоверности выделяются безошибоч-
ность и истинность данных. Под безошибочностью понимается свойство
данных не иметь скрытых случайных ошибок. Случайные ошибки в дан-
ных обусловлены, как правило, ненамеренными искажениями содержа-
ния сведений человеком или сбоями технических средств при переработ-
113
Основы информационной безопасности
ке данных в ИС. При анализе истинности данных рассматривают пред-
намеренные искажения данных человеком-источником сведений (в том
числе и из-за неумения или непонимания сути вопроса) или искажения,
вносимые средствами обработки информации.
Кумулятивность. Кумулятивность определяет такие понятия, как
«гомоморфизм» (соотношение между объектами двух множеств, при ко-
тором одно множество является моделью другого) и «избирательность».
Данные, специально отобранные для конкретного уровня пользователей,
обладают определенным свойством - избирательностью. Это социальная
составляющая кумулятивности.
Временные свойства. Временные свойства определяют способность
данных отображать динамику изменения ситуации (динамичность). При
этом можно рассматривать или время запаздывания появления в данных
Часть 2, Информационная безопасность автоматизированных систем
соответствующих признаков объектов, или расхождение реальных при-
знаков объекта и тех же признаков, отображаемых в данных. Соответст-
венно можно выделить:
• актуальность - свойство данных, характеризующих текущую ситуацию;
• оперативность - свойство данных, состоящее в том, что время их
сбора и переработки соответствует динамике изменения ситуации;
• идентичность - свойство данных соответствовать состоянию объекта.
Нарушение идентичности связано с техническим (по рассогласова-
нию признаков) старением информации, при котором происходит расхо-
ждение реальных признаков объектов и тех же признаков, отображенных
в информации.
В плане социальных мотивов рассматриваются:
• срочность - свойство данных соответствовать срокам, определяемым
социальными мотивами;
• значимость - свойство данных сохранять ценность для потребителя
с течением времени, т. е. не подвергаться моральному старению.
Защищенность данных. При рассмотрении защищенности можно
выделить технические аспекты защиты данных от несанкционированного
доступа (свойство недоступности) и социально-психологические аспекты
классификации данных по степени их конфиденциальности и секретно-
сти (свойство конфиденциальности) [8, 9].
Дополнительно можно выделить и такие свойства информации, как:
1. Общественная природа (источником информации является познава-
тельная деятельность людей, общества).
2. Языковая природа (информация выражается с помощью языка, т. е.
знаковой системы любой природы, служащей средством общения,
мышления, выражения мысли. Язык может быть естественным, ис-
пользуемым в повседневной жизни и служащим формой выражения
мыслей и средством общения между людьми и искусственным, соз-
данным людьми для определенных целей (например, язык математи-
ческой символики, информационно-поисковый, алгоритмический
и др.).
3. Неотрывность от языка носителя.
4. Дискретность (единицами информации как средствами выражения
являются слова, предложения, отрывки текста, а в плане содержа-
ния - понятия, высказывания, описание фактов, гипотезы, теории,
законы и др.).
115
Основы информационной безопасности
5. Независимость от создателей.
6. Старение (основной причиной старения информации является не са-
мо время, а появление новой информации, с поступлением которой
прежняя информация оказывается неверной, перестает адекватно
отображать явления и закономерности материального мира, челове-
ческого общения и мышления).
7. Рассеяние (т. е. существование в многочисленных источниках) [11].
Американские менеджеры утверждают: «Бизнес - на 90 % информа-
ция и лишь на 10 % - удача». Увы, сегодняшние российские бизнесмены
зачастую придерживаются прямо противоположных взглядов. Дело
в том, что информационные потребности российского рынка только фор-
мируются.
На сегодня рынок информации в России многообразен и динамичен.
Активно используя самые совершенные технологии, он расширяется
за счет формирования новых общественных потребностей и начинает до-
минировать в мировой экономике наряду с энергетическим рынком. Что-
бы оценить масштабность рынка информации, достаточно посмотреть на
его структуру. В число основных секторов этого рынка входят:
• традиционные СМИ (телевидение, радио, газеты);
• справочные издания (энциклопедии, учебники, словари, каталоги
нт. д.);
• справочно-информационные службы (телефонные службы, справоч-
ные бюро, доски объявлений и др.);
• консалтинговые службы (юридические, маркетинговые, налоговые
и др.);
• компьютерные информационные системы;
• отраслевые базы данных;
• Интернет.
Возможно, этот перечень неполон, однако основные направления он
отражает.
Компьютерный сектор рынка имеет ряд особенностей, выделяющих
его изо всех остальных.
Во-первых, он дает новое качество информационных услуг - быст-
рый поиск в больших массивах информации. В Интернете существуют
различные поисковые системы информации (Aport, Rambler, Япбех и
т. д.).
116
Часть 2. Информационная безопасность автоматизированных систем
Во-вторых, позволяет реализовать полный цикл технологии ввода,
хранения, обновления и доставки информации потребителям с наиболее
эффективными алгоритмическими решениями на отдельных этапах.
В-третьих, компьютерный сектор очень быстро развивается и начи-
нает оказывать влияние на другие секторы информационного рынка.
В первую очередь это относится к системам телетекста в сочетании с
обычным телевидением, а также к системам мультимедиа, которые начи-
нают конкурировать с полиграфическими изданиями справочной и учеб-
ной литературы.
В России компьютерный сектор информационного рынка переживает
сложный этап становления. Если в 1988 г. этот рынок практически отсут-
ствовал (не считая отдельных попыток продажи баз данных на дискетах и
услуг бюджетных информационных институтов), то в 1995 г. - налицо
реальное предложение целого спектра информационных товаров и услуг.
Эго уже рынок со своими лидерами, своей историей и множеством про-
блем.
Динамику изменения распределения потребителей информации по
отраслям можно охарактеризовать следующей таблицей и гистограммой.
N п/п Потребители информации 1995г., % 2001 г., увелич. в разы
1 Машиностроение 19,2 2,3
2 СМИ, библиотеки 16,7 3
3 Банки, инвестиционные фонды, страховые компании 7,4 2
4 Торговые дома, биржи 6,9 13
5 Шахты, карьеры, буровые 5,0 13
6 АЭС, ГЭС, ТЭЦ, ГРЭС 3,5 2
7 Высшие и средние УЗ 4,2 ИЗ
8 НИИ, ВЦ 3,9 2
9 Пищевая промышленность 3,5 13
10 Сервис 2,7 4
11 Нефтехимия 2,1 23
12 Предприниматель с.-х. продукции 2,0 13
13 Транспорт 2,0 4
14 Представительства инофирм 1,8 3
15 Органы управления 1,4 5
16 Информационные и рекламные агентства 1,4 8
17 Военные организации 13 4
18 Прочие 5,4 13
117
Основы информационной безопасности
потребители информации
3.3. Информационные услуги
Любая ИС призвана удовлетворить определенные информационные
потребности ее пользователей, предоставляя им различные информаци-
онные услуги.
Действия, реализующие обеспечение доступа к информационным ус-
лугам, осуществляются соответствующей службой информационной сис-
темы. При этом под службой понимается совокупность действий и ком-
понентов ИС, обеспечивающих соответствующие услуги.
Используются два способа классификации служб, отражающие раз-
личные аспекты предоставляемых услуг - по функциям и по режимам
доступа к услугам.
В зависимости от режима доступа пользователя к службам они под-
разделяются на две категории - интерактивные службы и службы с раз-
ветвленным режимом работы. Интерактивные службы, в свою очередь,
делятся на три класса - диалоговые, службы с накоплением, службы по
запросу.
Диалоговая служба представляет собой совокупность средств для
прямой передачи информации в реальном масштабе времени (без проме-
жуточного накопления и хранения) между пользователями. К службам
данного вида относится телефония, телетекс, телефакс, речевая конфе-
ренц-связь, IP-телефония, Интернет-конференции.
Службы с накоплением предназначены для непрямой связи между
пользователями с применением средств для промежуточного хранения
сообщений. Примером службы данного типа является электронная почта
для передачи данных, текстов, графических изображений.
Службы по запросу обеспечивают возможность пользователю извле-
кать необходимую информацию из банков данных. В общем случае
предполагается всеобщее неограниченное использование информации
118
Часть 2. Информационная безопасность автоматизированных систем
любым абонентом, имеющим право на доступ к службе. В частных слу-
чаях возможно разрешение доступа к той или иной информации только
для определенных групп пользователей. Информация в этом случае пре-
доставляется пользователю только по его требованию и в заданный им
момент времени. Наиболее типичным примером такой службы является
видеотекст.
Службы с разветвленным режимом работы обеспечивают распреде-
ление сообщений от одного центрального источника к неограниченному
числу абонентов, имеющих право на ее прием. К службам данного типа
относится, в частности, телетекс, а также службы передачи звукового
и телевизионного вещания.
3.3.1. Разновидности информационных систем
Современные телекоммуникационные сети информационных систем
характеризуются следующими основными отличительными признаками:
• видом передаваемой информации - телефонные, телеграфные, пере-
дачи данных, факсимильные, с интеграцией служб и т. и.;
• обслуживаемой территорией - международные, междугородные, ме-
стные (городские, сельские), внутрипроизводственные;
• сферой применения - общего пользования, ведомственные, произ-
водственные, диспетчерские и т. и.;
• способом распределения и доставки информации - по прямым кана-
лам, по коммутируемым каналам;
• методом коммутации - с коммутацией каналов, сообщений, пакетов,
с использованием комбинированных методов (гибридных, адаптив-
ных и т. и.);
• используемой физической средой передачи информации - кабель-
ные, оптоволоконные, радио-, спутниковые и т. и. каналы.
В настоящее время на территории России функционируют или вво-
дятся в эксплуатацию телекоммуникационные сети следующих видов:
• сети связи с коммутацией каналов;
• общегосударственная сеть телефонной связи (ОГСТФС) общего
пользования;
• общегосударственная сеть телефонной связи «Искра»;
• ведомственные и коммерческие сети телефонной связи;
• сеть абонентского телеграфирования (АТ-50).
119
Основы информационной безопасности
Сети передачи данных и документального обмена:
• ведомственные и коммерческие сети с коммутацией сообщений и па-
кетов;
• телеграфная сеть общего пользования с коммутацией сообщений.
Сети радиосвязи с подвижными и стационарными объектами:
• радиальные сети общего и ведомственного назначения;
• сотовые сети коммерческого назначения,
а также цифровые сети интегрального обслуживания.
Все указанные сети базируются на первичной государственной сети
связи, реализованной на основе аналоговых и цифровых систем передачи
с использованием кабельных, радиорелейных, спутниковых линий связи.
Каналы различных типов первичной сети предоставляются в аренду для
организации различных систем передачи информации.
В зависимости от назначения и функциональных возможностей теле-
коммуникационные сети предоставляют пользователям определенный
спектр услуг:
• телефонная местная, междугородная, международная связь;
• передача данных (обмен сообщениями, файлами);
• телеграфная связь (абонентский телеграф, телекс);
• телефакс;
• телетекс;
• видеотекс;
• телетекст;
• электронная почта;
• телеавтограф;
• речевая почта;
• доступ к базам данных;
• интегральные услуги по передаче речи и данных;
• терминальный доступ в сеть, Интернет;
• информационно-справочный сервис сети;
• защита данных и идентификация пользователей.
Указанные услуги относятся к коммуникационным услугам общего
пользования, на базе которых на прикладном уровне телекоммуникаци-
120
Часть 2. Информационная безопасность автоматизированных систем
онных сетей реализуются дополнительные сервисные услуги, отражаю-
щие специфические информационные потребности отдельных групп по-
требителей:
• компьютерные телеконференции;
• электронный обмен деловыми документами;
• электронные доски объявлений;
• электронные банковские операции;
• электронные торговые операции (базар, рынок, торговый дом);
• электронная коммерция.
Телекоммуникационные сети, предоставляющие услуги телефонной
связи, обеспечивают пользователям возможность обмена речевыми со-
общениями в режимах автоматической местной, автоматической и полу-
автоматической междугородной и международной связи. Абонентам
предоставляется широкий набор дополнительных видов обслуживания
(сокращенный набор номера, прямой вызов, переадресация, конференц-
связь, избирательная связь, постановка в очередь, уведомление о вновь
поступивших вызовах во время разговора, приоритетное обслуживание,
определение злонамеренных вызовов и т. д.).
Телефонные сети обеспечивают возможность передачи пользовате-
лями данных и факсимильной информации через модемы по скоммути-
рованному между ними каналу. Таким образом, ряд функций по передаче
данных и документальному обмену, представляющих интерес для поль-
зователей, может быть реализован в телефонной сети общего пользова-
ния.
Массовый приток на российский рынок зарубежных персональных
компьютеров, факсов, модемов, системного и прикладного программного
обеспечения создали потенциальные возможности для реализации услуг
обмена данными и факсимильной информацией по коммутируемым ка-
налам ОГСТФС. Преимуществом этого способа является практическое
отсутствие ограничений на территориальное размещение абонентов
в связи с развитой топологией государственной сети общего пользования.
Однако спектр реализуемых таким образом функций ограничивается ре-
жимом двухточечного соединения и физическими особенностями среды
передачи информации. Низкое качество большинства каналов на анало-
говых телефонных сетях в ряде регионов практически не позволяет осу-
ществить устойчивый и безошибочный обмен данными и факсимильной
информацией даже в пределах одного района города. Определенное
улучшение качества передачи и увеличение скорости обмена может быть
121
Основы информационной безопасности
обеспечено за счет использования современных модемов, реализующих
протоколы коррекции ошибок и сжатия данных.
Телеграфная сеть связи в России является второй (после ОГСТФС)
по общему числу пользователей. По назначению оконечных пунктов, ха-
рактеру и способу обработки информации она подразделяется на сле-
дующие сети:
• общего пользования (ОП), по которой передаются телеграммы, по-
ступающие в городские отделения связи или районные узлы;
• абонентского телеграфирования (АТ), по которой передаются теле-
графные сообщения, поступающие от предприятий, являющихся
абонентами сети АТ;
• передачи данных (ПД);
• международную, абонентского телеграфирования (телекс);
• международную, общего пользования (гентекс).
3.3.2. Службы
Более развитыми функциональными возможностями обладают ИС,
в составе которых имеются средства сетевых служб.
Сетевая телекс-телеграфная служба предназначена для приема теле-
ксных и телеграфных сообщений, переданных абонентами со стандарт-
ных телексных или телеграфных аппаратов, определения оптимального
маршрута пересылки сообщений, их передачи по сети на другую стан-
цию, рассылки сообщений абонентам, находящимся в любом районе
страны и за рубежом.
Служба обеспечивает также автоматическую регистрацию и провер-
ку полномочий абонентов, автоматический прием номера абонентской
установки для последующей пересылки. Дополнительными услугами мо-
гут являться множественная и задержанная (к определенному сроку) рас-
сылка сообщений, шлюзы со службой электронной почты.
Служба телефакс предназначена для обеспечения высококачествен-
ного приема сообщений, переданных абонентами со стандартных факси-
мильных аппаратов. В сети предусматривается конвертирование факси-
мильных сообщений в специальный формат, определение оптимального
маршрута пересылки, передача сообщения, его расконвертирование и пе-
ресылка получателю. Обеспечивается автоматическая регистрация сооб-
щений и проверка полномочий абонента. Дополнительными услугами
являются множественная и задержанная рассылка сообщений, шлюзы
с системами электронной почты, архивация сообщений.
122
Часть 2. Информационная безопасность автоматизированных систем
Служба телетекс обеспечивает связь между оконечными установка-
ми, которые используются для подготовки, редактирования и печати кор-
респонденции. За счет промежуточного накопления передаваемой ин-
формации в памяти оконечного устройства скорость последующей пере-
дачи может быть увеличена.
К службам документальной электросвязи относятся также дата-факс
(служба, функционально аналогичная телефаксу, но работающая не
по телефонной сети общего пользования, а по сетям с коммутацией паке-
тов) и бюрофакс - факсимильная служба с клиентским принципом об-
служивания (с терминалом коллективного пользования).
Служба видеотекс обеспечивает прием сообщений (текстов, изобра-
жений) на экран бытового телевизора или другие видеотерминалы из ин-
формационно-вычислительных центров. Запрос на услугу формируется
с тастауры телефонного аппарата и через модем в цифровой форме пере-
дается по телефонной сети в центр. Найденная по запросу в банке данных
информация передается абоненту и выводится на экран. Видеотерминал
может дополняться клавиатурой, принтером, факсимильным аппаратом.
В службе телетекст буквенно-цифровая информация передается
на экран бытовых телевизоров по сети телевизионного вещания (допол-
нительно к основной программе). Информационно-вычислительный
центр телетекста по запросам абонентов обеспечивает централизованную
выдачу оперативной информации, хранящейся в банке данных. Для вы-
бора информации используется тастаура телефонного аппарата. Инфор-
мация телетекста вводится в телевизионный тракт во время обратного
хода луча кадровой развертки. Для пользования услугами телетекста бы-
товой телевизор оборудуется специальной приставкой-декодером (в те-
левизорах 5-го поколения имеется встроенный декодер телетекста). При
необходимости имеется возможность получения копии информации на
принтере.
Электронная почта обеспечивает обмен сообщениями, предоставляет
услуги по подготовке, обработке и хранению сообщений. Передача со-
общений осуществляется через общедоступный или персональный элек-
тронный ящик. Электронное письмо может быть послано наложенным
платежом, срочным, с уведомлением о доставке (недоставке), с отправ-
кой в несколько адресов, с доставкой к определенному сроку и т. д.
Служба телеавтограф предназначена для передачи по телекоммуни-
кационным сетям рукописной текстовой и графической информации
(в общем случае - одновременно с передачей речи по одному каналу
в разных полосах частотного спектра). Ввод информации осуществляется
с помощью электронного пера и планшета с координатной сеткой. Коор-
динаты положения пера кодируются и передаются по сети абоненту-
123
Основы информационной безопасности
получателю, где осуществляется их декодирование, формирование копии
документа и вывод информации на экран (принтер).
Голосовая (речевая) электронная почта обеспечивает запись речевых
сообщений в цифровом виде и передачу их получателю в соответствии
с правилами, характерными для обычной электронной почты. При полу-
чении сообщение преобразуется из цифровой формы в аналоговую и
в звуковой сигнал.
Доступ к базам данных осуществляется в режимах «он-лайн» и «офф-
лайн». Первый режим соответствует работе пользователя с сетью в ре-
альном масштабе времени, а второй - работе по принципу «запрос - ответ»
с существенно большим временем реакции сети на запрос пользователя.
Услуга по обмену файлами предоставляет пользователям сетевой
сервис, обеспечивающий передачу больших массивов структурированной
информации между абонентами, а также управление файлами территори-
ально удаленных ресурсов сети с целью просмотра и манипулирования
их атрибутами.
Служба информационно-справочного сервиса обеспечивает получе-
ние пользователями сети разнообразной информации о ресурсах и функ-
циональных возможностях данной сети.
Удовлетворение информационных потребностей абонентов ИС свя-
зано в первую очередь с обеспечением их доступа к информационным
ресурсам данной сети и смежных с ней сетей. Информационными ресур-
сами являются централизованные и локальные базы данных, доступные
пользователю непосредственно либо через сетевые службы, реализую-
щие тематические телеконференции и поддерживающие работу элек-
тронных досок объявлений.
Компьютерные телеконференции обеспечивают общение территори-
ально удаленных групп пользователей в определенных прикладных об-
ластях. Предоставляются услуги по формированию, поиску и получению
тематически ориентированной информации.
Электронный телекоммуникационный обмен деловыми документами
(служба EDIFACT) обеспечивает стандартизованный обмен данными
(на базе стандартных служб электронной почты), экономическими, фи-
нансовыми и распорядительными документами. Используемые междуна-
родные стандарты задают специальные структуры документов, разрабо-
танные в соответствии с требованиями документального сопровождения
товарно-транспортных операций.
Электронная доска объявлений (ЭДО) обеспечивает доступ пользова-
телей со своих оконечных установок к специально образованной посто-
янно действующей файловой системе. Предоставляются услуги просмот-
ра содержимого (или оглавления) ЭДО, размещения информации на ЭДО
124
Часть 2. Информационная безопасность автоматизированных систем
с указанием времени ее хранения, снятия информации в любой момент
времени. Содержимое ЭДО автоматически обновляется ее абонентами
и администрацией службы.
Системы электронных банковских операций предоставляют услуги
по связи банков между собой, с их филиалами и клиентами, по передаче
банковской информации, выполнению операций с денежными средства-
ми, ценными бумагами, кредитными картами.
Системы электронных торговых операций (электронный базар, ры-
нок, торговый дом) на базе электронных досок объявлений обеспечивают
услуги по приему заявок на продажу (обмен) товаров, просмотру ЭДО
(поиску требуемого товара), проведению взаимных расчетов между про-
давцом и покупателем в режиме диалога или электронной почты. Систе-
мы отличаются друг от друга структурированностью содержимого ЭДО
и ассортиментом товаров.
Биржевые системы обеспечивают автоматизацию деятельности как
отдельных бирж, так и проведение одновременных (синхронных) торгов
на нескольких биржах.
В обобщенном виде услуги информационных систем [2] представле-
ны в табл. 2.2.
Таблица 2.2. Услуги информационных систем
Продукция ИС Вид обслуживания Вид общения
Диалоговая информационная связь Телефонная связь Телеграфная и факсимильная связь Передача данных Телеуправление Диалог
Избирательная связь Почтовые отправления Передача телеграмм Передача телефонограмм Электронная почта Передача данных Вызывная связь (пейджерная) Сообщение
Распространение информации Распространение печати Радиовещание Радиофикация Телевидение Оповещение (телетекс, видеотекст) Извещение
Избирательная справочная связь Телесправочная связь Т елесигнализация Т елеобслуживание Запрос - ответ
125
Основы информационной безопасности
3.4. Источники конфиденциальной информации
в информационных системах
Промышленный шпионаж был всегда, возможно с сотворения мира.
Особенно активно он развивался в странах с рыночной экономикой. Объ-
яснить этот факт просто: в условиях конкурентной борьбы знание силь-
ных и слабых сторон продукции и производства обеспечивает победу
на потребительском рынке.
В своих противоправных действиях, направленных на овладение чу-
жими секретами, злоумышленники стремятся найти такие источники
конфиденциальной информации, которые давали бы им наиболее досто-
верную информацию в максимальных объемах с минимальными затрата-
ми на ее получение. Прибегая к различным уловкам, используя множест-
во способов и средств, подбираются пути и подходы к таким источникам.
Очевидно, для этого необходимо четко определить, какой источник обла-
дает интересующей их информацией, и подобрать соответствующие спо-
собы и средства ее добывания.
В различной зарубежной и отечественной литературе можно встре-
тить разные толкования понятия ИСТОЧНИК. Например, каждому из-
вестно, что «книга - источник знаний» или «нефтяное месторождение -
источник нефти» и др. Наиболее употребительно понятие «источник ин-
формации» в разведке. Например, «главным источником радиоразведки
являются радиостанции и их радиопередачи» или «как стало известно из
источников в Пентагоне...» и т. п. Очевидно, что в любой из этих форму-
лировок имеется ввиду какой-то объект, обладающий определенной ин-
формацией, которую возможно получить (получать) одноразово или мно-
гократно интересующимся ею лицом. При этом источник может высту-
пать как активной, так и пассивной стороной.
Источник информации - это материальный объект, обладающий оп-
ределенными сведениями (информацией), представляющими конкретный
интерес для злоумышленников или конкурентов.
В общем плане, без значительной детализации можно считать источ-
никами конфиденциальной информации следующие категории.
1. Людей (сотрудники, обслуживающий персонал, продавцы, клиенты
и др.).
2. Документы самого различного характера и назначения.
3. Публикации: доклады, статьи, интервью, проспекты, книги и т. д.
4. Технические носители информации и документов.
5. Технические средства обработки информации: автоматизированные
средства обработки информации и средства обеспечения производ-
ственной и трудовой деятельности, в том числе и средства связи.
Часть 2. Информационная безопасность автоматизированны?! систем
6. Выпускаемую продукцию.
7. Производственные и промышленные отходы.
Люди в ряду источников конфиденциальной информации занимают
особое место, как активные элементы, способные выступать не только
обладателями конфиденциальной информации, но и субъектами злона-
меренных действий. Люди являются и обладателями и распространите-
лями информации в рамках своих функциональных обязанностей. Кроме
того что люди обладают важной информацией, они еще способны ее ана-
лизировать, обобщать, делать соответствующие выводы, а также при оп-
ределенных условиях скрывать, воровать, продавать и совершать иные
криминальные действия, вплоть до вступления в преступные связи с зло-
умышленниками.
Необходимо особо отметить, что изо всей совокупности источников
персонал, сотрудники, продавцы продукции, партнеры, поставщики, кли-
енты и т. д. - главные источники конфиденциальной информации. По-
этому необходимо тщательно изучать весь состав сотрудников, особо
выделяя при этом основных, обладающих особо ценной коммерческой
информацией. Следует обращать внимание как на вновь поступивших на
работу, так и на тех, кто подлежит увольнению. Эти люди нередко нахо-
дятся в ситуациях, благоприятных к злонамеренным действиям, особенно
последние. Объект особой заботы - персонал, занимающийся сбытом
продукции. Часто эти люди получают запросы от клиентов с просьбой
сообщить какие-либо сведения о возможной продаже улучшенных или
новых моделей, дополнительную информацию об изделии якобы для то-
го, чтобы его лучшим образом применить.
Опытный промышленный шпион сам не стремится проникнуть на
фирму, а подбирает из числа служащих подходящую «жертву». Кроме
того, он знает, что самые лучшие источники не «жертвы», а болтуны. Вот
почему профессионалов промышленного шпионажа привлекают различ-
ные съезды, конгрессы, конференции, симпозиумы, научные семинары
и другие формы общественного обсуждения научных и практических
проблем. В докладах и выступлениях участников зачастую сообщаются
такие сведения, которые не найдешь ни в каких документах, в том числе
и в публикуемых. Здесь опытный специалист собирает самую ценную
информацию.
Формой информационного обмена выступают также различные ин-
тервью, выступления на радио и телевидении.
Документы. Документы - это самая распространенная форма обмена
информацией, ее накопления и хранения. Под документом понимают ма-
127
Основы информационной безопасности
термальный носитель информации (бумага, кино- и фотопленка, магнит-
ная лента и т. и.) с зафиксированной на нем информацией, предназначен-
ной для ее использования во времени и пространстве. Документ отличает
то, что его функциональное назначение весьма разнообразно. Он может
быть представлен не только различным содержанием, но и разными фи-
зическими формами - материальными носителями.
По направленности различают организационно-распорядительные,
плановые, статистические, бухгалтерские и научно-технические доку-
менты, содержащие, по существу, всю массу сведений о составе, состоя-
нии и деятельности любой организационной структуры от государствен-
ного до индивидуального уровня, о любом изделии, товаре, замысле, раз-
работке.
Определенную опасность представляют судебные документы, свя-
занные с разбором различных конфликтных ситуаций. Подчас в ходе су-
дебного разбирательства раскрываются весьма тонкие нюансы деятель-
ности фирмы, которые в других ситуациях просто не появились бы
ни в документах, ни в действиях. Такое разнообразие форм и содержания
документов по назначению, направленности, характеру движения и ис-
пользованию является весьма заманчивым источником конфиденциаль-
ной информации для промышленных шпионов, что, естественно, привле-
кает их внимание реальными возможностями получения интересующих
их сведений.
Публикации. Публикации - это информационные носители в виде
самых разнообразных изданий, подразделяющихся на первичные и вто-
ричные. К первичным относятся книги, статьи, периодические и продол-
жающиеся издания, сборники, научно-технические отчеты, диссертации,
рекламные проспекты, доклады, препринты и др. Ко вторичным - ин-
формационные карты, реферативные журналы, экспресс-информация, об-
зоры, библиографические указатели, каталоги и др.
По заключению западных специалистов, более 60 % военной инфор-
мации, являющейся весьма секретной, можно получить из так называе-
мых открытых или легальных источников - прессы, передач радио и те-
левидения, книг, журналов и т. д. Поэтому современный разведчик, под
какой бы «крышей» он ни работал (дипломат, торговый представитель,
журналист), занимается в основном сбором и анализом сведений из офи-
циальных источников информации.
Что же касается научной, промышленной и экономической информа-
ции, то она не в меньшей мере доступна злоумышленникам. Порядка
90 % интересующей их информации можно получить из специализиро-
ванных журналов, научных трудов, отчетов, внутренних изданий пред-
Часть 2. Информационная безопасность автоматизированных систем
приятии, брошюр и проспектов, раздаваемых на выставках и ярмарках.
Цель шпиона - раздобыть остальные 10% необходимой ему информа-
ции, в которой и кроется фирменный секрет, «тайна мастерства».
Технические носители. Информация может быть фиксированной
и нефиксированной. Фиксированная информация - это сведения, закреп-
ленные на каком-либо физическом носителе, а нефиксированная - это
знания, которыми владеют ученые, специалисты, работники (владельцы
или источники), так или иначе участвующие в производстве и способные
передавать эти знания другим. Фиксированная информация различается
в зависимости от вида носителя, на котором она находится. К техниче-
ским носителям информации относятся бумажные носители, кино- и фо-
томатериалы (микро- и кинофильмы), магнитные носители (дискеты, же-
сткие диски, стримеры), видеозаписи, информация на экранах ПЭВМ,
на табло коллективного пользования, на экранах промышленных
телевизионных установок и других средствах.
Опасность технических носителей определяется высоким темпом
роста парка технических средств, компьютерных сетей и ПЭВМ, нахо-
дящихся в эксплуатации, их широким применением в самых различных
сферах человеческой деятельности, высокой степенью концентрации ин-
формации на технических носителях и масштабностью участия людей
в использовании этих носителей в практической деятельности. В качестве
демонстрации высокой концентрации информации на гибком магнитном
диске (дискете) ПЭВМ емкостью 1,44 Мбайт укажем, что на нем можно
записать около 150 тыс. знаков или примерно 1000 страниц текста. Еще
большей емкостью обладают жесткие диски, CD- и DVD-диски. Такой
источник информации может один содержать практически всю информа-
цию о фирме или предприятии.
Технические средства обработки информации. Технические сред-
ства как источники конфиденциальной информации являются достаточно
широкой и емкой в информационном плане группой источников. По
специфике назначения и исполнения их можно разделить на две большие
группы:
• технические средства обеспечения производственной и трудовой
деятельности;
• технические средства автоматизированной обработки информации.
В группу средств обеспечения производственной и трудовой дея-
тельности входят самые различные технические средства, такие, напри-
мер, как телефонные аппараты и телефонная связь; телеграфная, фототе-
129
Основы информационной безопасности
леграфная и факсимильная связь; системы радиосвязи (автономные, тер-
риториальные, релейные, спутниковые и др.); телевизионные (в том чис-
ле и средства промышленного телевидения); радиоприемники и радио-
трансляционные системы; системы громкоговорящей связи, усилитель-
ные системы различного назначения; средства магнитной и видеозаписи;
средства неполиграфического размножения документов (пишущие ма-
шинки, ксерокопировальные аппараты, факсы) и другие средства
и системы. Все эти средства могут являться источниками преобразования
акустических сигналов, содержащих коммерческие секреты, в электриче-
ские и электромагнитные поля, способные образовать электромагнитные
каналы утечки охраняемых сведений.
Особую группу технических средств составляют автоматизированные
системы обработки информации. Привлекательность ПЭВМ и инфор-
мационных систем как источников конфиденциальной информации обу-
словлена рядом объективных особенностей, к числу которых относятся:
• резкое расширение сферы применения информационной и вычисли-
тельной техники (ПЭВМ, локальные и распределенные информаци-
онные сети национального и международного масштаба);
• увеличение объемов обрабатываемой и хранимой информации в ло-
кальных и распределенных банках данных;
• увеличение числа пользователей ресурсами ПЭВМ и сетей: много-
пользовательский режим удаленного доступа к базам данных.
Привлекательность заключается еще и в том, что АСОИ содержит
весьма значительный ассортимент информации. В ее базах данных есть
все о конкретном предприятии от досье на сотрудников до конкретной
продукции, ее характеристиках, стоимости и другие сведения.
Продукция. Производство материальных благ является естественной
деятельностью человечества в целях улучшения своей жизни и обеспече-
ния других видов деятельности. И вполне естественно, что продукты
труда выступают источниками информации, за которой весьма активно
охотятся конкуренты. Особое внимание обращают конкуренты на новую
продукцию, находящуюся в стадии подготовки к производству. Произ-
водство любой продукции определяется этапами «жизненного цикла»:
идеей, макетом, опытным образецом, испытаниями, серийным
производством, эксплуатацией, модернизацией и снятием с производства.
Каждый из этих этапов сопровождается специфической информацией,
проявляющейся разными физическими эффектами, которые в виде
характеристик (демаскирующих признаков) могут раскрыть охраняемые
сведения о производимом товаре.
Часть 2. Информационная безопасность автоматизированных систем
Естественно, что злоумышленник стремится получить информацию
о производимом товаре на более ранних стадиях его «жизненного цикла»,
что даст ему возможность своевременно принять необходимые меры для
упреждения в выпуске своей продукции. При этом, очевидно, его про-
дукция должна обладать привлекательными для потребителя параметра-
ми: быть дешевле, надежнее, производительнее, оригинальнее, красивее
и т. д. Ведь недаром же говорят об умении японцев подхватывать и за-
пускать в массовое производство то, что изобретено в других странах.
Промышленные и производственные отходы. Отходы производства,
что называется бросовый материал, могут многое рассказать об исполь-
зуемых материалах, их составе, особенностях производства, технологии.
Тем более что они получаются почти безопасным путем на свалках, по-
мойках, местах сбора металлолома, в ящиках отходов исследовательских
лабораторий, в мусорных корзинах кабинетов. Как откровенничал один
из опытных шпионов, «рекомендую обращать внимание на содержание
мусорных корзин: стоит недорого, а среди смятых бумажек, испорченных
документов и разных копирок, если искать, можно найти тысячедолларо-
вый банкнот; я не раз их находил в виде черновиков, за которые мне пла-
тили тысячи». Не менее серьезными источниками конфиденциальной
информации являются промышленные отходы: опилки, стружка, обрезки,
испорченные заготовки, поломанные комплектующие и т. д. Анализ от-
ходов поможет узнать об особенностях производства, технологии.
Каждый в отдельности, а в итоге в совокупности источники конфи-
денциальной информации содержат достаточно полные сведения о соста-
ве, состоянии и направлениях деятельности предприятия, что весьма ин-
тересует конкурентов. Ведь заманчиво знать, когда конкурент начнет
разработку нового изделия, чем оно будет лучше старого, когда он вы-
бросит новый товар на рынок, по какой цене и т. д. Зная это, можно ус-
пешно конкурировать с ним, приняв своевременные меры.
Источниками конфиденциальной информации в информационных
системах являются люди, документы, публикации, технические носители,
технические средства обработки информации, продукция, промышлен-
ные и производственные отходы.
3.5. Что приводит к неправомерному овладению
конфиденциальной информацией в информационных
системах
Другое толкование. «Одной из проблем защиты информации являет-
ся классификация возможных каналов утечки информации. Под возмож-
ным каналом утечки информации мы будем понимать способ, позволяю-
131
Основы информационной безопасности
щий нарушителю получить доступ к обрабатываемой или хранящейся
в ПЭВМ информации». И далее: «К каналам утечки относятся:
• хищение носителей информации (магнитных лент, дисков, дискет
ит. д.);
• чтение информации с экрана посторонним лицом (во время отобра-
жения информации на экране законным пользователем или при от-
сутствии его);
• чтение информации из оставленных без присмотра распечаток про-
грамм;
• подключение к устройствам ПЭВМ специально разработанных аппа-
ратных средств, обеспечивающих доступ к информации;
• использование специальных технических средств для перехвата
электромагнитных излучений технических средств ПЭВМ;
• несанкционированный доступ программ к информации;
• расшифровка программой зашифрованной информации;
• копирование программой информации с носителей» [24].
Довольно часто встречаются такие определения, как «промышленные
шпионы... подслушивают, ведут наблюдение, досматривают почту...»,
«экономический шпионаж как сфера тайной деятельности по сбору, ана-
лизу, хранению и использованию... конфиденциальной информации»,
«выуживание информации, от примитивного прослушивания до космиче-
ского подглядывания», «космический шпионаж не отменяет тысячеле-
тиями опробованные способы выуживания секретов», «спецслужбы рас-
сматривают, прощупывают прослушивают, зондируют земной шарик
всевозможными способами начиная от простого изучения прессы и кон-
чая сканированием земной толщи лазерными лучами из космоса».
Один из возможных перечней способов получения информации при-
веден ниже.
1. Сбор информации, содержащейся в СМИ, включая официальные до-
кументы, например судебные отчеты.
2. Использование сведений, распространяемых служащими конкури-
рующих фирм.
3. Биржевые отчеты и отчеты консультантов, финансовые отчеты и до-
кументы, находящиеся в распоряжении маклеров; выставочные экс-
понаты и проспекты, брошюры конкурирующих фирм; отчеты ком-
мивояжеров своей фирмы.
Часть 2. Информационная безопасность автоматизированных систем
4. Изучение продукции конкурирующих фирм; использование данных,
полученных во время бесед со служащими конкурирующих фирм
(без нарушения законов).
5. Замаскированные опросы и «выуживание» информации у служащих
конкурирующих фирм на научно-технических конгрессах (конфе-
ренциях).
6. Непосредственное наблюдение, осуществляемое скрытно.
7. Беседы о найме на работу со служащими конкурирующих фирм (хо-
тя опрашивающий вовсе не намерен принимать данного человека
на работу в свою фирму).
8. Так называемые ложные переговоры с фирмой-конкурентом относи-
тельно приобретения лицензии.
9. Наем на работу служащего конкурирующей фирмы для получения
требуемой информации.
10. Подкуп служащего конкурирующей фирмы или лица, занимающего-
ся ее снабжением.
11. Использование агента для получения информации на основе пла-
тежной ведомости фирмы-конкурента.
12. Подслушивание переговоров, ведущихся в фирмах-конкурентах.
13. Перехват телеграфных сообщений.
14. Подслушивание телефонных переговоров.
15. Кражи чертежей, образцов, документов и т. д.
16. Шпионаж и вымогательство.
Возникает закономерный вопрос, что из приведенных понятий можно
рассматривать как способ несанкционированного доступа. Под способом
вообще понимается порядок и приемы действий, приводящие к достиже-
нию какой-либо цели. Энциклопедическое понимание способа производ-
ства - исторически обусловленная форма производства материальных
благ. Известно также определение способов военных действий как поря-
док и приемы применения сил и средств для решения задач в операции
(бою). Наконец, способ доступа -совокупность приемов работы с дан-
ными во внешней памяти. В криминальной сфере отмечаются способы
сокрытия доходов от налогообложения.
С учетом рассмотренного можно так определить способ несанкцио-
нированного доступа к источникам конфиденциальной информации: спо-
соб несанкционированного доступа - совокупность приемов и порядок
Основы информационной безопасности
действий с целью получения (добывания) охраняемых сведений незакон-
ным, противоправным путем.
С учетом этой формулировки рассмотрим на самом высоком уровне
абстракции систематизированный перечень таких способов (табл. 2.3).
Таблица 2.3. Обобщенная модель способов несанкционированного доступа
к источникам конфиденциальной информации
Источники информации Способы доступа к информации
Инициативное сотрудничество Склонение к сотрудничеству Выпытывание Подслушивание Наблюдение Хищение Копирование Подделка (модификация) Уничтожение (порча, разрушение) Незаконное подключение Перехват Негласное ознакомление Фотографирование Сбор и аналитическая обработка Итого по источнику
Люди + + + + + + + + + + 10
Документы + + + + + + + + + 9
Публи- кации — ' + + + 3
Техни- ческие носители + + + + + 5
Техни- ческие средства + + + + 4
Техни- ческие средства АСОИ + + + + + + + + + + 10
Продукция + + + + + + + 7
Отходы ч- + Hr • + 2
Всего 1 1 1 3 4 6 4 6 6 2 3 5 4 4 50 |
Часть 2. Информационная безопасность автоматизированных систем
Способами несанкционированного доступа к конфиденциальной ин-
формации являются:
1. Инициативное сотрудничество.
2. Склонение к сотрудничеству.
3. Выведывание, выпытывание.
4. Подслушивание переговоров различными путями.
5. Хищение.
6. Копирование.
7. Подделка (модификация).
8. Уничтожение (порча, разрушение).
9. Незаконное подключение к каналам и линиям связи и передачи данных.
10. Негласное ознакомление со сведениями и документами.
11. Перехват.
12. Визуальное наблюдение.
13. Фотографирование.
14. Сбор и аналитическая обработка.
Развернутое содержание способов несанкционированного доступа
приведено в [22, 31].
Этот перечень является независимым и непересекающимся на вы-
бранном уровне абстракции. Согласившись с тем, что перечень источни-
ков конфиденциальной информации также независим и непересекаем,
рассмотрим их взаимосвязи и взаимозависимости.
Даже беглый обзор позволяет заключить, что к определенным источ-
никам применены и определенные способы. Как разнообразны источни-
ки, так и разнообразны способы несанкционированного доступа к ним.
Мы допускаем возможность декомпозиции и способов несанкциониро-
ванного доступа (НСД) и источников по их применимости в зависимости
от определенных условий и ситуаций. Тем не менее, имея формальный
набор источников и способов НСД к ним, возможно построить формаль-
ную модель взаимосвязи источников и способов на качественном уровне
с определенной степенью условности. Такую модель можно было бы на-
звать обобщенной моделью способов несанкционированного доступа к
источникам конфиденциальной информации. Вариант такой модели при-
веден в табл. 2.3. Что же показывает эта модель?
Не вдаваясь в сущность каждого способа, видно, что значительная их
часть применима к таким источникам, как люди, технические средства
135
Основы информационной безопасности
АСОИ и документы. Другие, как бы менее применяемые по количеству
охватываемых источников, никак нельзя отнести к менее опасным. Сте-
пень опасности проникновения определяется не количеством, а прине-
сенным ущербом.
Многообразие способов несанкционированного доступа к источни-
кам конфиденциальной информации вызывает вопрос, каково их соот-
ношение в практике деятельности спецслужб (рис. 2.9).
Разглашение
информации ее ___
владельцем или
обладателем
Умышленные или неос-
торожные действия
должностных лиц и
граждан, которым
соответствующие све-
дения в установленном
порядке были доверены
по службе или работе,
приведшие кознаком-
лению с ними лиц, не
допущенных к этим
сведениям
..........4......
Выражается в
- Сообщении
- Передаче
- Предоставлении
- Пересылке
- Опубликовании
- Утере
- Любыми иными
способами
Утечка
информации
Несанкцио-
нированный
доступ
Безконтрольный
выход
конфиденциальной
информации
за пределы
организации или
круга лиц, которым
эта информация
была доверена
Противоправное
преднамеренное
овладение
конфиденциальной
информацией
лицом,не
имеющим права
доступа к
охраняемым
сведениям
.........4..........
Возможна по различным
- Визуально-
оптическим
каналам
- Акустическим
каналам
- Электромагнитным
каналам
- Материально-
вещественным
каналам
4
Реализуется способами
- Инициативное
сотрудничество
- Склонение к
сотрудничеству
- Выпытывание
- Подслушивание
- Наблюдение
-Хищение
- Копирование
- Подделка
(модификация)
- Уничтожение
(порча, разрушение)
- Незаконное
подключение
- Перехват
- Негласное
ознакомление
- Фотографирование
- Сбор и аналитическая
обработка
Рис. 2.9. Действия, приводящие к овладению информацией
Часть 2. Информационная безопасность автоматизированных систем
На рис. 2.9 представлены действия, приводящие к НСД. Зарубежные
литературные источники приводят отдельные показатели соотношения
способов НСД, приведенные в табл. 2.4; полной картины пока нет.
Таблица 2.4. Соотношение способов НСД
Способ НДС %
Подкуп, шантаж, переманивание служащих, внедрение агентов 43
Подслушивание телефонных переговоров 5
Кража документов 10
Проникновение в ПЭВМ 18
Съем информации с каналов связи «втемную» 24
Анализ приведенных данных показывает, что последние три группы
реализуются в криминальной практике посредством использования тех
или иных технических средств и составляют в общем составе 47 %
от общего их числа. Эго лишний раз подтверждает опасность техниче-
ских каналов утечки информации в практике ведения предприниматель-
ской деятельности.
3.6. Виды технических средств информационных систем
В процессе функционирования информационной системы происхо-
дит то или иное преобразование, вызванное необходимостью обеспече-
ния управленческих решений.
Виды работ, которые можно выполнять с информацией, следующие:
• преобразование информации (изменение физического сигнала, фор-
мы представления, кода, языка, но без изменения содержания);
• перемещение информации в пространстве (передача);
• перемещение информации во времени (фиксация информации, запо-
минание с выдачей по запросу);
• обработка информации;
• размножение информации и др.
Выполнение названных работ обеспечивают специальные, ориенти-
рованные на эти работы средства, которые принято называть основными.
Помимо основных технических средств, в процессе управления произ-
водством и трудовой деятельности используются различные технические
средства вспомогательного, обеспечивающего назначения [32].
К ним относятся вспомогательные системы и аппараты, такие, как
радиофикация, системы единого времени, магнитофоны и др. (табл. 2.5-2.6).
137
Основы информационной безопасности
Таблица 2.5. Технические средства обеспечения
производственной деятельности
Основные Вспомогательные
Средства передачи, обработки, накоп- ления и хранения конфиденциальной информации Средства обеспечения производственной и трудовой деятельности
Средства проводной и радиосвязи: • телефонной, • телеграфной, • конференц-связи. Средства вычислительной техники и передачи данных. Звукоусилительные системы и аппара- тура громкоговорящей связи. Системы промышленного телевидения. Средства изготовления, копирования и размножения документов. Испытательная и измерительная техника: • радиотелеметрические системы; • измерительные комплекты; • отдельные измерительные приборы Системы радиофикации. Системы единого времени. Звукозаписывающая аппаратура. Бытовая радиоприемная аппаратура. Телевизионные системы. Бытовые электроприборы: • электрические часы, • электрические звонки, • настольные и потолочные све- тильники, • холодильники, • кондиционеры, • вентиляторы. Средства охранно-пожарной сигна- лизации
Таблица 2.6. Взаимосвязь способов НСД и каналов утечки информации
Способы несанкционированного доступа Типы технических каналов утечки информации
Визуально- опти- ческие Акусти- ческие Электро- магнитные (магнитные, электрические) Мате- риалъно- вещест- венные
Подслушивание + +
Визуальное наблюдение +
Хищение + +
Копирование + +
Подделка + +
Незаконное подключение + +
Перехват + +
Фотографирование +
Всего 2 3 6 3
Показательно, что наиболее опасными являются электромагнитные
каналы утечки информации, охватываемые шестью способами НСД. Бо-
138
Часть 2. Информационная безопасность автоматизированных систем
лее того, в обиход уверенно вошло такое понятие, как «магнитный терро-
ризм» - воздействие на этот объект электромагнитным полем.
Любая ИС может оперативно и в полном объеме удовлетворять ин-
формационные потребности пользователей имея современные техниче-
ские средства. Чем больше средств, тем успешнее работает ИС. Однако
любые технические средства потенциально обладают техническими ка-
налами утечки информации по своей природе. Это расширяет возможно-
сти не только в плане использования этих средств, но и в плане несанк-
ционированного съема информации.
Если не уверен в безопасности, считай,
что опасность существует реально.
Правило морского судоходства
4. Угрозы информации
Угроза информации - возможность возникновения на каком-либо
этапе жизнедеятельности системы такого явления или события, следстви-
ем которого могут быть нежелательные воздействия на информацию.
1. Виды угроз. Основные нарушения.
1.1. Физической целостности (уничтожение, разрушение элементов).
1.2. Логической целостности (разрушение логических связей).
1.3. Содержания (изменение блоков информации, внешнее навязыва-
ние ложной информации).
1.4. Конфиденциальности (разрушение защиты, уменьшение степени
защищенности информации).
1.5. Прав собственности на информацию (несанкционированное ко-
пирование, использование).
2. Характер происхождения угроз.
2.1. Умышленные факторы:
2.1.1. Хищение носителей информации.
2.1.2. Подключение к каналам связи.
2.1.3. Перехват электромагнитных излучений (ЭМИ).
2.1.4. Несанкционированный доступ.
2.1.5. Разглашение информации.
2.1.6. Копирование данных.
2.2. Естественные факторы:
2.2.1. Несчастные случаи (пожары, аварии, взрывы).
2.2.2. Стихийные бедствия (ураганы, наводнения, землетрясения).
2.2.3. Ошибки в процессе обработки информации (ошибки пользова-
теля, оператора, сбои аппаратуры).
139
Основы информационной безопасности
Три наиболее выраженные угрозы:
• подверженность физическому искажению или уничтожению;
• возможность несанкционированной (случайной или злоумышленной)
модификации;
• опасность несанкционированного (случайного и преднамеренного)
получения информации лицами, для которых она не предназначена.
Источники угроз (понимается непосредственный исполнитель угрозы
в плане ее негативного воздействия на информацию):
• люди;
• технические устройства;
• модели, алгоритмы, программы;
• технологические схемы обработки;
• внешняя среда.
Предпосылки появления угроз:
• объективные (количественная или качественная недостаточность
элементов системы) - причины, не связанные непосредственно с дея-
тельностью людей и вызывающие случайные по характеру происхо-
ждения угрозы;
• субъективные - причины, непосредственно связанные с деятельно-
стью человека и вызывающие как преднамеренные (деятельность
разведок иностранных государств, промышленный шпионаж, дея-
тельность уголовных элементов и недобросовестных сотрудников),
так и непреднамеренные (плохое психофизиологическое состояние,
недостаточная подготовка, низкий уровень знаний) угрозы информации.
Несанкционированный дос-
туп - получение лицами в обход
системы защиты с помощью про-
граммных, технических и других
средств, а также в силу случай-
ных обстоятельств доступа к об-
рабатываемой и хранимой на
объекте информации. На рис. 2.10
приведен общий вид каналов
НСД к источнику информации и
системе обработки информации
(СОИ).
Часть 2. Информационная безопасность автоматизированных систем
Разглашение информации ее обладателем есть умышленное или не-
осторожное действие должностных лиц и граждан, которым соответст-
вующие сведения в установленном порядке были доверены по работе,
приведшие к не вызванному служебной необходимостью оглашению ох-
раняемых сведений, в также передача таких сведений по открытым тех-
ническим каналам или обработка на некатегорированных ЭВМ.
Утечку информации в общем плане можно рассматривать как бес-
контрольный и неправомерный выход конфиденциальной информации
за пределы организации или круга лиц, которым эта информация была
доверена.
Система защиты информации - совокупность взаимосвязанных
средств, методов и мероприятий, направленных на предотвращение унич-
тожения, искажения, несанкционированного получения конфиденциаль-
ных сведений, отображенных полями, электромагнитными, световыми
и звуковыми волнами или вещественно-материальными носителями в ви-
де сигналов, образов, символов, технических решений и процессов.
Система защиты информации является составной частью комплекс-
ной системы безопасности. На рис. 2.11 представлена трехмерная модель
комплексной безопасности.
Объекты
защиты
i
Персонал
Материальные и .
финансовые средства
Информационные’
ресурсы
Функции
службы
безопасности
/ Направления обеспечения
безопасности
Рис. 2.11. Трехмерная модель комплексной безопасности
Основы информационной безопасности
4.1. Классы каналов несанкционированного получения
информации
Рассмотрим относительно полное множество каналов несанкциони-
рованного получения информации, сформированного на основе такого
показателя, как степень взаимодействия злоумышленника с элементами
объекта обработки информации и самой информацией.
К первому классу относятся каналы от источника информации при
НСД к нему.
1. Хищение носителей информации.
2. Копирование информации с носителей (материально-вещественных,
магнитных и т. д.).
3. Подслушивание разговоров (в том числе аудиозапись).
4. Установка закладных устройств в помещение и съем информации
с их помощью.
5. Выведывание информации обслуживающего персонала на объекте.
6. Фотографирование или видеосъемка носителей информации внутри
помещения.
Ко второму классу относятся каналы со средств обработки информа-
ции при НСД к ним.
1. Снятие информации с устройств электронной памяти.
2. Установка закладных устройств в СОИ.
3. Ввод программных продуктов, позволяющих злоумышленнику по-
лучать информацию.
4. Копирование информации с технических устройств отображения
(фотографирование с мониторов и др.).
К третьему классу относятся каналы от источника информации без
1. Получение информации по акустическим каналам (в системах вен-
тиляции, теплоснабжения, а также с помощью направленных мик-
рофонов).
2. Получение информации по виброакустическим каналам (с использо-
ванием акустических датчиков, лазерных устройств).
3. Использование технических средств оптической разведки (биноклей,
подзорных труб и т. д.).
4. Использование технических средств оптико-электронной разведки
(внешних телекамер, приборов ночного видения и т. д.).
Часть 2. Информационная безопасность автоматизированных систем
5. Осмотр отходов и мусора.
6. Выведывание информации у обслуживающего персонала за преде-
лами объекта.
7. Изучение выходящей за пределы объекта открытой информации
(публикаций, рекламных проспектов и т. д.).
К четвертому классу относятся каналы со средств обработки инфор-
мации без НСД к ним.
1. Электромагнитные излучения СОИ (паразитные электромагнитные
излучения (ПЭМИ), паразитная генерация усилительных каскадов,
паразитная модуляция высокочастотных генераторов низкочастот-
ным сигналом, содержащим конфиденциальную информацию).
2. Электромагнитные излучения линий связи.
3. Подключения к линиям связи.
4. Снятие наводок электрических сигналов с линий связи.
5. Снятие наводок с системы питания.
6. Снятие наводок с системы заземления.
7. Снятие наводок с системы теплоснабжения.
8. Использование высокочастотного навязывания.
9. Снятие с линий, выходящих за пределы объекта, сигналов, образо-
ванных на технических средствах за счет акустоэлектрических пре-
образований.
10. Снятие излучений оптоволоконных линий связи.
11. Подключение к базам данных и ПЭВМ по компьютерным сетям.
4.2. Причины нарушения целостности информации
1. Субъективные.
1.1. Преднамеренные.
1.1.1. Диверсия (организация пожаров, взрывов, повреждений элек-
тропитания и др.).
1.1.2. Непосредственные действия над носителем (хищение, подмена
носителей, уничтожение информации).
1.1.3. Информационное воздействие (электромагнитное облучение,
ввод в компьютерные системы разрушающих программных средств, воз-
действие на психику личности психотропным оружием).
1.2. Непреднамеренные.
1.2.1. Отказы обслуживающего персонала (гибель, длительный выход
из строя).
из
Основы информационной безопасности
1.2.2. Сбои людей (временный выход из строя).
1.2.3. Ошибки людей.
2. Объективные, непреднамеренные.
2.1. Отказы (полный выход из строя) аппаратуры, программ, систем
питания и жизнеобеспечения.
2.2. Сбои (кратковременный выход из строя) аппаратуры, программ,
систем питания и жизнеобеспечения.
2.3. Стихийные бедствия (наводнения, землетрясения, ураганы).
2.4. Несчастные случаи (пожары, взрывы, аварии).
2.5. Электромагнитная несовместимость.
4.3. Виды угроз информационным системам
Угрозы информационной системе можно рассматривать с позиций их
воздействия на ее характеристики, такие, в частности, как готовность
системы, ее надежность и конфиденциальность [34].
Готовность - способность ИС обеспечить законным пользователям
условия доступа к ресурсам в соответствии с принятым режимом работы.
Надежность - способность системы обеспечивать информационные
потребности только законным пользователям в рамках их интересов.
Конфиденциальность - способность системы обеспечивать целост-
ность и сохранность информации ее законных пользователей.
Угрозы могут также классифицироваться и по природе возникнове-
ния - стихийные бедствия, несчастные случаи (чрезвычайные происше-
ствия), различного рода ошибки или злоупотребления, сбои и отказы обо-
рудования и др.
Кроме того, угрозы могут быть классифицированы по ориентации на
угрозы персоналу, материальным и финансовым ресурсам и информации,
как составным элементам информационной системы.
Неоднократно предпринимались попытки описать различные виды
угроз и воздействий на информационные системы, дать характеристику
степени опасности каждой из них. Однако большинство таких попыток
сводилось к описанию угроз на достаточно высоком уровне абстракции,
так как описать угрозы на конкретном, деятельном уровне просто
не представляется возможным.
На стадии концептуальной проработки вопросов безопасности ин-
формационной системы представляется возможным рассмотрение обще-
го состава потенциальных угроз. Конкретные перечни, связанные со спе-
цификой и информационной системы, и условий требуют определенной
детализации и характерны для этапа разработки конкретного проекта
системы безопасности ИС.
144
Часть 2. Информационная безопасность автоматизированных систем
В общем плане к угрозам безопасности относятся:
• похищения и угрозы похищения сотрудников, персонала, членов их
семей и близких родственников;
• убийства, сопровождаемые насилием, издевательствами и пытками;
• психологический террор, угрозы, запугивание, шантаж, вымогательство;
• грабежи с целью завладения денежными средствами, ценностями
и документами.
Преступные посягательства в отношении помещений (в том числе
и жилых), зданий и персонала проявляются в виде:
• взрывов;
• обстрелов из огнестрельного оружия, сигнальных ракетниц, ручных
гранатометов;
• минирования, в том числе с применением дистанционного управления;
• поджогов, бросков канистр и иных емкостей с легковоспламеняю-
щейся жидкостью;
• нападения, вторжения, захваты, пикетирования, блокирования;
• актов вандализма, повреждения входных дверей, решеток, огражде-
ний, витрин, мебели, а также транспортных средств, личных и слу-
жебных.
Цель подобных акций:
• откровенный террор в отношении коммерческого предприятия;
• нанесение серьезного морального и материального ущерба;
• срыв на длительное время нормального функционирования предпри-
ятия;
• вымогательство значительных сумм денег или каких-либо льгот
(кредиты, отсрочка платежей и т. п.) перед лицом террористической
угрозы [28].
Угрозы информационным ресурсам проявляются в овладении конфи-
денциальной информацией, ее модификации в интересах злоумышленни-
ка или ее разрушении с целью нанесения материального ущерба.
Осуществление угроз информационным ресурсам может быть произ-
ведено:
• через имеющиеся агентурные источники в органах государственного
управления, коммерческих структур, имеющих возможность получе-
ния конфиденциальной информации;
145
Основы информационной безопасности
• путем подкупа лиц, непосредственно работающих на предприятии
или в структурах, непосредственно связанных с его деятельностью;
• путем перехвата информации, циркулирующей в средствах и систе-
мах связи и вычислительной техники, с помощью технических
средств разведки и съема информации, несанкционированного дос-
тупа к информации и преднамеренных программно-математических
воздействий на нее в процессе обработки и хранения;
• путем подслушивания конфиденциальных переговоров, ведущихся
в служебных помещениях, служебном и личном автотранспорте,
на квартирах и дачах;
• через переговорные процессы с иностранными или отечественными
фирмами, используя неосторожное обращение с информацией;
• через «инициативников» из числа сотрудников, которые хотят зара-
ботать деньги и улучшить свое благосостояние или проявляют ини-
циативу по другим моральным или материальным причинам.
К факторам, приводящим к информационным потерям и, как следст-
вие, к различным видам убытков или ущерба, можно отнести следующие
причины и действия.
1. Материальный ущерб, связанный с несчастными случаями, вызы-
вает частичный или полный вывод из строя оборудования или информа-
ционного ресурса. Причинами этого могут быть:
• пожары, взрывы, аварии;
• удары, столкновения, падения;
• воздействия твердых, газообразных, жидких или смешанных химиче-
ских или физических сред;
• поломка элементов машин различного характера: механического,
электрического, электронного и электромагнитного;
• последствия природных явлений (наводнения, бури, молнии, град,
оползни, землетрясения и т. д.).
2. Кражу и преднамеренную порчу материальных средств. Воруют
главным образом небольшие по габаритам аппаратные средства (монито-
ры, клавиатуру, принтеры, модемы, кабели и оргтехнику), информацион-
ные носители (диски, дискеты, ленты, магнитные карты и др.) и различ-
ное другое имущество и ЗИП (документация, комплектующие и др.).
Посягательства и вредительские действия проявляются в самых раз-
личных формах: явные (например, оставленная отвертка внутри печа-
Часть 2. Информационная безопасность автоматизированных систем
тающего устройства, в корпусе вентилятора процессора) или скрытые
(например, вредные химические вещества в помещениях и аппаратуре).
3. Аварии и выход из строя аппаратуры, программ и баз данных. Ос-
тановка или нарушение деятельности информационных центров не такие
уж редкие события, а продолжительность этих состояний в основном не-
большая. Но иногда между тем прямые и косвенные последствия этих
действий могут быть весьма значительными. Последствия этих действий
к тому же не могут быть заранее предусмотрены и оценены.
4. Убытки, связанные с ошибками накопления, хранения, передачи
и использования информации. Эти ошибки связаны с человеческим фак-
тором, будь-то при использовании традиционных носителей информации
(дискеты, ленты) или при диалоговом обмене в режиме удаленного дос-
тупа.
При традиционных носителях цена обычной ошибки, даже после
уточнения, может достигнуть 0,5 %. Формальный и информационный
контроль позволяют уменьшить величину ущерба, но тем не менее число
таких ошибок не уменьшается. Их последствия редко бывают весьма зна-
чительными, однако представляют собой достаточно постоянный поток
и приносят постоянные потери, обусловленные поиском, устранением
и последующим повторением действий, а это невосполнимые потери вре-
мени и денег.
При диалоговом режиме дополнительно прибавляются ошибки вос-
приятия, чтения, интерпретации содержания и соблюдения правил.
Ошибки передачи зависят от используемой техники. Они могут быть
простыми при использовании средств почтовой связи и чисто техниче-
скими (телепередача). В обоих случаях могут быть потери, ошибки не-
умения, оплошности, наличие помех, сбои и искажения отдельных букв
или сообщений. Ошибки подобного рода оцениваются как потери пред-
приятия. И хотя их трудно определить и оценить, но учитывать необхо-
димо. Не следует недооценивать эту категорию угроз, хотя к ним доволь-
но быстро привыкают.
5. Ошибки эксплуатации. Эти ошибки могут приобретать различные
формы: нарушение защиты, переполнение файлов, ошибки языка управ-
ления данными, ошибки при подготовке и вводе информации, ошибки
операционной системы, ошибки программы, аппаратные ошибки, оши-
бочное толкование инструкций, пропуск операций и т. д.
Диапазон ошибок людей значителен. Иногда трудно установить раз-
личие между ошибкой, небрежностью, утомлением, непрофессионализ-
мом и злоупотреблением.
Основы информационной безопасности
6. Концептуальные ошибки и ошибки внедрения. Концептуальные
ошибки могут иметь драматические последствия в процессе эксплуата-
ции информационной системы.
Ошибки реализации бывают в основном менее опасными и достаточ-
но легко устранимыми.
7. Убытки от злонамеренных действий в нематериальной сфере.
Мошенничество и хищение информационных ресурсов - это одна из
форм преступности, которая в настоящее время является довольно безо-
пасной и может принести больший доход, чем прямое ограбление банка.
Между тем, учитывая сложность информационных систем и их слабые
стороны, этот вид действий считается достаточно легко реализуемым.
Нередко все начинается случайно, часто с небольшого правонаруше-
ния: обмана, воровства, только для того чтобы установить, что это не
слишком трудное дело и в больших масштабах. Единственным препятст-
вием остается только совесть. Мошенничество часто имеет внутренние
побудительные мотивы или совершается в корыстных целях, по догово-
ренности с третьими лицами (сотрудничество).
8. Болтливость и разглашение. Эти действия, последствия которых
не поддаются учету, относятся к числу трудноконтролируемых и могут
находиться в рамках от простого, наивного хвастовства до промышлен-
ного шпионажа в коммерческой деятельности - таков их диапазон.
9. Убытки социального характера. Речь идет об уходе или увольне-
нии сотрудников, забастовках и других действиях персонала, приводя-
щих к производственным потерям и неукомплектованности рабочих
мест. Опасность этих действий существует почти всегда.
Особо опасный вид угроз представляет промышленный шпионаж как
форма недобросовестной конкуренции.
Промышленный шпионаж - это наносящие владельцу коммерческой
тайны ущерб незаконный сбор, присвоение и передача сведений, состав-
ляющих коммерческую тайну, а также ее носителей лицом, не уполномо-
ченным на это ее владельцем.
4.4. Виды потерь
Информационный ущерб может рассматриваться и с точки зрения
потерь, приводящих к какой-либо убыточности, в частности в тех случа-
ях, когда они могут быть оценены.
1. Потери, связанные с материальным ущербом. Речь идет о компен-
сации или размещении утраченных или похищенных материальных
средств. К этой сумме может добавиться целый ряд других, может быть
даже более значительных:
Часть 2. Информационная безопасность автоматизированных систем
• стоимость компенсации, возмещение другого косвенно утраченного
имущества;
• стоимость ремонтно-восстановительных работ;
• расходы на анализ и исследование причин и величины ущерба;
• другие различные расходы.
2. Дополнительные расходы, связанные с персоналом, обслуживани-
ем сети и расходы на восстановление информации, связанные с возоб-
новлением работы сети по сбору, хранению, обработке и контролю дан-
ных.
К дополнительным расходам относятся также:
• поддержка информационных ресурсов и средств удаленного доступа;
• обслуживающий персонал, не связанный с информацией;
• специальные премии, расходы на перевозку и др.;
• другие виды расходов.
3. Эксплуатационные потери, связанные с ущемлением банковских
интересов, или с финансовыми издержками, или с потерей клиентов.
Расходы на эксплуатацию соответствуют снижению общего потен-
циала предприятия, вызываемого следующими причинами:
• снижением банковского доверия;
• уменьшением размеров прибыли;
• потерей клиентуры;
• снижением доходов предприятия;
• другими причинами.
Естественно, что информационные потери увеличивают дополни-
тельные расходы на их восстановление, что требует определенного вре-
мени. Временные задержки вызывают соответствующие претензии поль-
зователей, потери интересов, а иногда и финансовые санкции.
4. Утрата фондов или невосстанавливаемого имущества. Утрата
фондов соответствует в общем случае уменьшению финансовых возмож-
ностей (деньги, чеки, облигации, вексели, денежные переводы, боны, ак-
ции и т. д.).
Преступные действия могут быть предприняты и в отношении счетов
третьей стороны (клиенты, поставщики, государство, лица наемного тру-
да), а иногда даже и против капиталов. Потери собственности соответст-
вуют утрате материальных ценностей как складированных, так и закуп-
ленных, а также недвижимости.
149
Основы информационной безопасности
5. Прочие расходы и потери, в частности, связаны с моральной от-
ветственностью .
Эта категория потерь по своему содержанию довольно разнообразна:
травмы, телесные повреждения, моральный ущерб, судебные издержки,
штрафы, расходы на обучение и различные эксперименты, другие виды
гражданской ответственности. Сюда же можно отнести качественные по-
тери и другие издержки.
Ущерб может быть прямой (расходы, связанные с восстановлением
системы) и косвенный (потери информации, клиентуры).
В отдельных монографиях и статьях отечественных и зарубежных
ученых излагаются некоторые результаты практических исследований по
определению количественных значений различных угроз информацион-
ным системам. Не умаляя значения других авторов, исследовавших это
направление, рассмотрим подход к оценке убытков информационным
системам, проведенный Ж. Ламером [34]. В своей работе Ж. Ламер так
оценивает убытки ИС. Размеры ущерба, нанесенного ИС за время с 1989-го
по 1990 г., характеризуются количественными показателями, приведен-
ными в табл. 2.7.
Таблица 2. 7. Размеры ущерба информационным системам
от различных видов угроз
Вид угрозы Содержание угрозы Виды ущерба Размеры ущерба, млн. фр.
Г Д Е Ж Всего Процент к 1986 г.
1 420 940 100 1460, +6
А 2 50 45 - 95 + 12
3 1080 1080 +3
Итого 470 2065 - 100 2635 +21
4 350 90 160 600 -8
Б 5 - 210 10 30 250 -17
6 650 50 200 300 +6
Итого 1250 150 390 1750 -19
7 650 1850 ПО 26.50 , +6
8 - 570 10 150 670 г16
9 1250 1250 Н4
10 50 50 -33
Итого 2650 1860 260 4670 +3
Всего 470 +6 5775 -6 2010 +5,5 750 +5 9005 +0,5 +5
15в
Часть 2. Информационная безопасность автоматизированных систем
Примечания:
А - происшествия. Эго угроза материальным средствам информаци-
онной системы. Охватывает: 1 - материальный ущерб; 2 - кражи, хище-
ния и другие виды действий; 3 - аварии, поломки, отказы, выход из строя
аппаратных и программных средств и баз данных.
Б - ошибки и непредвиденные действия. Охватывает: 4 - ошибки
ввода, хранения, обработки и передачи информации; 5 - ошибки функ-
ционирования системы; 6 - концептуальные ошибки и ошибки внедрения
(реализации).
В - вредительство: 7 - экономический шпионаж; 8 болтливость и
разглашение информации; 9 - копирование программ и операционных
систем; 10 - саботаж, забастовки, уход (увольнение) сотрудников.
Виды ущерба: Г - материальный ущерб различного характера; Д -
дополнительные расходы на возмещение убытков; Е - финансовые убыт-
ки; Ж - моральный ущерб и др.
Убытки от злонамеренных действий непрерывно возрастают и явля-
ются наиболее значительными.
Приведенные в таблице данные обладают определенной погрешно-
стью (порядка 20 %), что связано в основном со сбором статистических
данных.
В общем, 1990 г. отличался некоторым замедлением всех видов по-
терь, хотя ситуация в зависимости от различных причин довольно разно-
образна (происшествия - +4,8 %, ошибки - -2,6 %, злоупотребления -
+8,6 %).
Следует отменить, что ущерб, превышающий 10 млн. фр., увеличился
(46 против 44), при этом зарегистрирован только один случай, сумма ко-
торого превышает 100 млн. франков (против четырех в 1989 г.).
Убытки, связанные с происшествиями (2-я строка), зависят от разви-
тия парка, в частности от увеличения техники и рабочих мест, а также от
разнообразия причин: пожары - 42 %; задымления, коррозия, неисправ-
ности - 11 %; ущерб от подтоплений - 12%; выход из строя машин -
8 %; возгорание электросетей и приборов (от грозовых разрядов и пере-
напряжения) - 9 %; неполадки во внешней среде - 10 %; другие случаи -
8%.
Что касается 3-й строки, различие также довольно значительное. Ти-
пичные аварии оборудования - 18 %; неполадки во внешней среде - 9 %;
специфические неисправности оборудования - 15 %; выход из строя опе-
рационной системы - 10 %; неисправности сетей - 11 %; перебои в снаб-
жении водой - 5 %, перебои в электроснабжении - 3 %; перебои различ-
ного рода снабжения - 8 %; другие причины - 21 %.
151
Основы информационной безопасности
Убытки, связанные с ошибками, несколько уменьшились. Это, в ча-
стности, относится к 4-й строке (несмотря на еще многочисленные ошиб-
ки маршрутизации потоков и ошибки, связанные с использованием сетей)
и к 5-й сроке (здесь за счет увеличения доли автоматизации повысилось
качество продукции). Вместе с тем можно отметить, что если увеличение
обмена по каналам привело к улучшению показателей 4-й строки,
то функциональные ошибки, которые не отражаются в этой таблице, ско-
рее всего имеют тенденцию к росту.
Концептуальные и внедренческие ошибки (6-я строка). Причины но-
сят одновременно структурный (привлечение к разработке сторонних ор-
ганизаций, абонементное обслуживание) и технический характер (физи-
ческий износ постоянно растущего числа действующих систем, обуслов-
ливающий проблемы восстановления или адаптации новых, более
сложных систем и т. д.).
Убытки, связанные со злоупотреблениями (7-я строка). Здесь доволь-
но высокие показатели. По состоянию на 1989 г. они составляли: мошен-
ничество - 67 % и саботаж - 33 %. В свою очередь, мошенничество под-
разделяется: на хищение фондов - 70 %, хищение материальных ценно-
стей - 30 %. Последние могут быть проанализированы по отношению
к социально-экономическому сектору: I - банки, страхование, социальное
обеспечение, финансы - 38 %; II - промышленность, сельское хозяйст-
во - 28 %; III - транспорт, торговля, другие услуги - 34 %. Саботаж под-
разделяется, в свою очередь: на фальсификацию данных или программ -
20 %; частичный вывод из строя или частичное блокирование - 49 %;
полный вывод из строя или полное блокирование - 31 %. Убытки, свя-
занные с вирусами, трудно поддаются оценке. В общем, они меньше
100 млн. фр. Хотя случаи их появления увеличиваются как в сетях мини-
ЭВМ, так и в больших системах.
Убытки от разглашения и промышленного шпионажа (8-я строка)
весьма значительны. Сегодня шпионаж не ограничивается только обла-
стью промышленности, а становится преимущественно экономическим.
Особенно прогрессируют секторы торговли и финансов.
Показатели 9-й строки вновь увеличились после их падения в 1988 г.
Это объясняется увеличением пиратских действий и в особенности рос-
том числа случаев подделки.
10-я строка имеет явную тенденцию к уменьшению приносимого
ущерба.
В [4] анализируются угрозы автоматизированным информационным
системам коммерческих банков. Результаты исследований, проведенных
Datapro Information Service Group на основе анкетирования 1153 банков,
аз»
Часть 2. Информационная безопасность автоматизированных систем
приведены в табл. 2.8. (В 1991, 1992, и 2001 гг. в опросе участвовало со-
ответственно 1102, 1153 и 1121 респондент.)
Таблица 2.8. Угрозы автоматизированным информационным системам, %
Видугрозы Содержание угрозы 1991 1992 2001
Потеря связи Стихийные бедствия 14 8 8
Небрежность пользователей 15 17
Неисправность учрежденческих АТС 21 25
Неисправность в сетях передачи данных 46 46
Ошибки программных средств 39 55
Другие причины 42 36 31
Компьютерные преступления Программными средства- ми (включая вирусы) 22 44 64
Раскрытие пароля 28 30 32
Внутренние угрозы системе 4 5 2
Внешние угрозы системе 2 2 2
Возгорание компьютера 2 1 1
Утечка информации 9 11 17
Несанкциони- рованный доступ 19 22 34
Стихийные бедствия Подтопление и другие причины 3 3 3
Угрозы данным информационным системам, выраженные как причи-
ны потери данных в ИС [3], приведены на рис. 2.12. Анализ крупных
убытков74 особенно тех, которые могут поставить под угрозу само суще-
ствование предприятия, показывает, что, кроме основных причин, нане-
сению ущерба способствовали и такие факторы, как:
• отсутствие взаимодействия между ответственными за безопасность
лицами;
• несоответствие технических средств реальным потребностям безо-
пасности;
• установка средств безопасности без глубокого изучения конкретных
условий и особенностей.
153
Основы информационной безопасности
О 5 10 15 20 25 30 35 40
Рис. 2.12. Причины потери данных
Понять это, кроме технических аспектов, часто второстепенных
и не представляющих собой значительных проблем на практике, - значит
ОВЛАДЕТЬ основами управления безопасностью.
Основные причины убытков связаны не столько с недостаточностью
средств безопасности как таковых, сколько с отсутствием взаимосвязи
между ними.
4.5. Информационные инфекции
В течение последнего времени множатся примеры систем, подверг-
нувшихся информационным инфекциям. Все говорят о том, что в буду-
щем логические бомбы, вирусы, черви и другие инфекции явятся главной
причиной компьютерных преступлений. Совсем недавно речь шла в ос-
новном о случаях с малыми системами. Между тем отмечаются случаи
прямых атак и на большие системы со стороны сети или перехода виру-
сов от микроЭВМ к центральным («переходящий» вирус, поддерживае-
мый совместимостью операционных систем и унификацией наборов дан-
ных).
В настоящее время инфекции в информационных системах становят-
ся обычными и имеют неодинаковые последствия в каждом конкретном
случае. В основном это потери рабочего времени.
Число атак больших систем (по сети и реже через магнитные носите-
ли) растет. Речь идет, в частности, о логических бомбах, разрушающих
набор данных (в том числе и тех, которые считаются защищенными, по-
скольку инфекция сохраняется долгое время) или парализующих систему.
154
Часть 2. Информационная безопасность автоматизированных систем
Участились случаи, когда предприятие полностью лишается одного
или нескольких наборов данных, а иногда даже программ, что может
в самом худшем случае привести к катастрофическим потерям.
Угроза таких атак может быть реальной или выражаться в виде шан-
тажа или вымогательства фондов. Мотивы при этом могут быть самые
различные: от личных интересов до преступной конкуренции (случаи
уже ординарные).
Угрозы информационных инфекций опасны не только персональным
ЭВМ. Они не менее опасны большим системам и информационным сетям
самого различного уровня.
Различные виды злонамеренных действий в нематериальной сфере
(разрушение или изменение данных или программ) могут быть подразде-
лены на два крупных класса:
• физический саботаж (фальсификация данных, изменение логики об-
работки или защиты);
• информационные инфекции (троянский конь, логическая бомба, чер-
ви и вирусы), являющиеся программами, далекими от того, чтобы
принести полезные результаты пользователю; они предназначены
для того, чтобы расстроить, изменить или разрушить полностью или
частично элементы, обеспечивающие нормальное функционирование
системы.
Информационные инфекции специфически ориентированы и обла-
дают определенными чертами: противоправны (незаконны), способны
самовостанавливаться и размножаться; а также имеют определенный ин-
кубационный период - замедленное время начала действия.
Информационные инфекции имеют злонамеренный характер: их дей-
ствия могут иметь разрушительный результат (например, уничтожение
набора данных), реже физическое уничтожение (например, резкое вклю-
чение и выключение дисковода), сдерживающее действие (переполнение
канала ввода-вывода, памяти) или просто видоизменяющее влияние
на работу программ.
Самовосстановление и размножение приводит к заражению других
программ и распространению по линиям связи. Это влияние трудно огра-
ничить, так как недостаточно выявить только один экземпляр вируса: за-
раженными могут быть не только копии, но и любые другие программы,
вступившие в связь с ней.
Замедленное действие проявляется в том, что работа программы на-
чинается при определенных условиях: дата, час, продолжительность, на-
ступление события и т. д. Такое действие называют логической бомбой.
155
Основы информационной безопасности
Логические бомбы могут быть «запрятаны» служащим, например
программистом; обычно бомба представляет собой часть программы, ко-
торая запускается всякий раз, когда вводится определенная информация.
Такая ловушка может сработать не сразу. Например, она может сработать
от ввода данных, вызывающих отработку секции программы, которая
портит или уничтожает информацию [10].
Логические бомбы, как вытекает из их названия, используются для
искажения или уничтожения информации, реже с их помощью соверша-
ется кража или мошенничество. Манипуляциями с логическими бомбами
обычно занимаются чем-то недовольные служащие, собирающиеся поки-
нуть данную организацию, но это могут быть и консультанты, служащие
с определенными политическими убеждениями, инженеры, которые при
повторных обращениях могут попытаться вывести систему из строя.
Реальный пример логической бомбы: программист, предвидя свое
увольнение, вносит в программу заработной платы определенные изме-
нения, работа которых начнется, если его фамилия исчезнет из набора
данных о персонале фирмы.
Троянский конь - это часть программы, которая при обращении спо-
собна, например, вмешаться в инструкцию передачи денежных средств
или в движение акций, а затем уничтожить все улики. Ее можно приме-
нить также в случае, когда один пользователь работает с программой, ко-
торая предоставляет ресурсы другому пользователю. Известен случай,
когда преступная группа смогла договориться с программистом торговой
фирмы, работающим над банковским программным обеспечением, о том,
чтобы он ввел подпрограмму, которая предоставит этим преступникам
доступ в систему после ее установки с целью переместить денежные
вклады.
Известен также случай, когда фирма, разрабатывающая программное
обеспечение для банковских систем, стала объектов домогательств дру-
гой фирмы, которая хотела выкупить программы и имела тесную связь
с преступным миром. Преступная группа, если она удачно определит ме-
сто для внедрения троянского коня (например, включит его в систему
очистки с автоматизированным контролем, выдающую денежные средст-
ва), может безмерно обогатиться.
Червь представляет собой паразитный процесс, который потребляет
(истощает) ресурсы системы. Программа обладает свойством перевопло-
щаться и воспроизводиться в диспетчерах терминалов. Она может также
приводить к разрушению программ.
Вирус представляет собой программу, которая обладает способно-
стью размножаться и самовосстанавливаться. Некоторые вирусы поме-
чают программы, которые они заразили, с помощью пометы с тем, чтобы
156
Часть 2. Информационная безопасность автоматизированных систем
не заражать несколько раз одну и ту же программу. Эта помета использу-
ется некоторыми антивирусными средствами. Другие средства исполь-
зуют последовательность характерных для вирусов кодов.
Большинство известных вирусов обладают замедленным действием.
Они различаются между собой способами заражать программы и своей
эффективностью. Существует три основные категории вирусов:
• Системные вирусы, объектом заражения которых являются исключи-
тельно загрузочные секторы (BOOT).
• Почтовые вирусы, объектом заражения которых являются электрон-
ные сообщения.
• Программные вирусы, заражающие различные программы функцио-
нального назначения. Программные вирусы можно подразделить
на две категории в соответствии с воздействием, которое они оказы-
вают на информационные программы. Эта классификация позволяет
разработать процедуры обеспечения безопасности применительно
к каждому виду вирусов.
Восстанавливающийся вирус внедряется внутрь программы, которую
он частично разрушает. Объем инфицированной программы при этом не
изменяется. Это не позволяет использовать этот параметр для обнаруже-
ния заражения программы. Однако инфицированная программа не может
больше нормально работать. Это довольно быстро обнаруживает пользо-
ватель.
Вирус, внедряемый путем вставки, изменяет программу не разрушая
ее. Всякий раз, когда задействуется программа, вирус проявляет себя
позже, после окончания работы программы. Программа кажется нор-
мально работающей, что может затруднить своевременное обнаружение
вируса. Однако увеличение объема программы позволяет довольно быст-
ро обнаружить инфицированную программу (табл. 2.9).
Таблица 2.9. Анализ проявления каждого из видов инфекций
Вид инфекции Характер действия
незаконный с замедлением с самовосста- новлением
Троянский конь Всегда Редко, но возможно Никогда
Логическая бомба Всегда Часто, но необязательно Никогда
Червь Всегда Возможно Всегда
Вирус Всегда Очень часто Всегда
157
Основы информационной безопасности
Строки в табл. 2.9 следуют в хронологическом порядке: первые логи-
ческие инфекции имели место на основе троянских коней, затем идут ло-
гические бомбы и, наконец, черви и вирусы. Хронологический порядок
довольно хорошо отражает, кроме того, степень сложности: в то время
как знание одного из распространенных языков программирования, на-
пример Си или Паскаля, достаточно для написания троянского коня или
логической бомбы, знание Ассемблера почти всегда необходимо для на-
писания червя или вируса.
Табл. 2.10 иллюстрирует уровни заражения, создаваемого информа-
ционными инфекциями.
Таблица 2.10. Уровни заражения, создаваемого червем и вирусом
Объект заражения Червь Вирус
Оперативная память Да Да
Оперативная память ЭВМ в составе сети Да Возможно
Накопитель на жестком магнитном диске (НЖМД) Нет Да
Накопитель на гибком магнитном диске (НГМД) Нет Да
Внешние накопители ЭВМ в составе сети Исключено Возможно
4.6. Убытки, связанные с информационным обменом
Установить информационный обмен между несколькими партнера-
ми - это значит договориться о технических (нормализация функций
и используемых данных, интеграция и автоматизация процессов, специ-
фикация станций и сетей и т. д.) и юридических (ответственность сторон,
право проверки передаваемой информации и др.) условиях передачи дан-
ных. К этому следует добавить еще и требования сокращения времени
передачи документов, снижение стоимости, улучшение качества инфор-
мационного обслуживания.
Убытки в системе обмена данными могут иметь внешние и внутрен-
ние причины, часто взаимосвязанные и взаимообусловливаемые, причи-
ненные теми или иными угрозами, покушениями или другими факторами.
На рис. 2.13 представлена обобщенная схема злонамеренных действий.
4.6.1. Остановки или выходы из строя
Речь идет о простой остановке или выходе из строя системы (физиче-
ская поломка, отказ или авария оборудования или программных средств,
случайные или более или менее частые в течение определенного време-
ни). Причины могут быть многочисленными.
Часть 2. Информационная безопасность автоматизированных систем
Рис. 2.13. Обобщенная схема злонамеренных действий
1. Происшествия, аварии, отказы системы, случайные или преднаме-
ренные, могут нарушить готовность системы передачи данных.
2. Перерывы в работе узлов или магистральных линий связи. Речь идет
о собственных средствах или о сетях передачи данных или центра
вашего абонента. Причины могут быть разные: забастовки, случай-
ное повреждение оборудования, происшествия (стихийные бедст-
вия), физическое стирание информации и др. Продолжительность
прерывания работы зависит от многих причин и от возможностей
защиты и организации восстановления.
3. Помехи. Помехи в системе связи могут значительно затруднить ин-
формационный обмен и привести к ошибкам и потере информации.
4.6.2. Потери информации
В процессе передачи данные могут быть утрачены, что создает про-
блему готовности (полная утрата), целостности (частичная утрата) или
направлены не по адресу (ошибки маршрутизации), что приводит к на-
рушению конфиденциальности. Причины могут корениться в сетях пере-
дачи данных или в узлах связи. В данном случае источниками могут быть
оборудование, протоколы обмена или люди (ошибки или злонамеренные
действия). В числе последних могут быть, в частности, логические бом-
бы, вирусы, которые наносят удар прежде всего по целостности, а затем
уже по готовности системы.
Основы информационной безопасности
4.6.3. Изменение информации
Этот вид бедствия затрагивает и содержание, и последовательность
информации (изменение порядка и формы сообщения). В основе этого
может быть ошибка или злонамеренное действие. Сознательное измене-
ние информации может привести к ее утрате, задержке, модификации
или служить основой для мошенничества (хищение материальных и фи-
нансовых ценностей).
Информация может быть изменена во время передачи (при вводе),
при передачи или при приеме. В любом случае изменение информации
может быть результатом либо некомпетентности, либо злоумышленных
действий.
4.6.4. Неискренность
Передающий отрицает факт передачи или принимающий не под-
тверждает факт приема сообщения. Это может быть результатом ошибки
или чаще всего нечестного поступка. Бедствие произошло, но ответст-
венность на себя никто не берет. Это приводит к росту злоумышленных
действий.
4.6.5. Маскарад
Выдача себя за другого пользователя, чтобы снять с себя ответствен-
ность или же использовать его полномочия с целью формирования лож-
ной информации, изменения законной информации, применения ложного
удостоверения личности для получения несанкционированного доступа,
санкционирования ложных обменов информацией или же их подтвер-
ждения. Для этого могут использоваться чужие идентификаторы и паро-
ли или вноситься изменения в процесс передачи информации. Существу-
ет много способов, позволяющих убедиться в законности информацион-
ного обмена в интересах его защиты. Эго может быть запрос приемной
стороны на подтверждение опознавательных элементов (идентификато-
ров, контрольных сумм и др.). Следует учитывать возможность атак,
предпринимаемых злоумышленниками во время обмена информацией
(пиратство, перехват элементов подлинности, маскарад и др.). Пират мо-
жет выступать инициатором запроса на подтверждение подлинности со-
общения. Например, пират становится посредником между А и В. Он го-
ворит А, что он В; запрашивает у А подтверждение подлинности как В;
он говорит В, что он А и что он желает обменяться опознавательными
элементами. Далее следует информационный обмен.
I»
Часть 2. Информационная безопасность автоматизированных систем
4.6.6. Перехват информации
Информация может быть перехвачена при передаче путем подключе-
ния или за счет наводок или излучения. Подключение может быть физи-
ческим или программным в зависимости от места расположения пункта
перехвата. Информация может быть перехвачена не только на узлах свя-
зи, но и на кабелях (подключение, наводки, излучение).
4.6.1. Вторжение в информационную систему
Информационный обмен можно рассматривать как «окно», через ко-
торое можно проникнуть к информационным массивам системы, поэтому
следует изучать угрозы, которые могут возникнуть, если окно «не очень
хорошо закрыто». Речь идет о сценарии несанкционированного доступа
к информации посредством информационного обмена. Это одна из серь-
езных опасностей, поскольку она может угрожать как данным, так
и функциональным элементам. Вторжение может совершаться по заранее
разработанному сценарию. Одной из возможных причин, мотивирующих
вторжение, может быть разглашение конфиденциальной информации,
в частности паролей или идентификаторов. Подобную информацию, од-
нако, можно получить и более простыми способами: болтливостью, под-
купом, шантажом..., которые совершенно не связаны с информационным
обменом в составе сети.
В общем плане угроза вторжения определяется степенью открытости
системы по отношению к доступу со стороны сети.
Основные рубежи на пути вторжения. Первый рубеж - организаци-
онные и структурные элементы (выбор сети, разграничение доступа
и др.). Второй рубеж образуют в основном структурные (связь «ПК - сер-
вер») и технические, (неприступность системы, элементов и ресурсов)
компоненты системы информационного обмена.
По своему характеру вторжения в линии связи информационных сис-
тем по отношению к информационному обмену могут быть пассивными
или активными [21] (рис. 2.14).
Пассивное проникновение - это подключение к линиям связи или
прием электромагнитных излучений этих линий в любой точке системы
лицом, не являющимся пользователем ЭВМ. Активное проникновение
в систему представляет собой прямое использование информации из
файлов, хранящихся в запоминающих устройствах. Такое проникновение
реализуется обычными процедурами доступа:
Основы информационной безопасности
Пассивные
Злоумышленник только наблюдает
за прохождением информации
по линии связи
1. Анализ информации:
- содержание сообщений
- факты их прохождения
- частота их следования
- опознавательные элементы
(пароли, идентификаторы, коды
ит.п.)
2. Системно-структурный анализ:
- состав абонентской сети
- география сети
- принадлежность и т.п.
Злоумышленник стремится моди-
фицировать содержание сооб-
щения или маршрут его движения
1. Воздействие на поток сообщений:
- модификация
- задержка
- переупорядочение
- удаление
- дублирование регулярных и
посылка ложных сообщений
2. Воспрепятствие передаче
сообщений (срыв связи)
3. Инициализация ложных
соединений
Рис. 2.14. Методы вторжения в линии связи
• использованием известного способа доступа к системе или ее частям
с целью задания запрещенных вопросов, обращения к файлам, со-
держащим интересующую информацию;
• маскировкой под истинного пользователя после получения характе-
ристик (идентификаторов) доступа;
• использованием служебного положения, т. е. незапланированного
просмотра (ревизии) информации файлов.
Активное проникновение в систему может осуществляться скрытно,
т. е. в обход контрольных программ обеспечения сохранности информа-
ции.
Наиболее характерные приемы проникновения.
1. Использование точек входа, установленных в системе программи-
стами (обслуживающим персоналом), или точек, обнаруженных при
проверках цепей системного контроля.
2. Подключение к сети связи специального терминала, обеспечивающе-
го вход в систему под видом законного пользователя ЭВМ, с после-
дующим восстановлением связи по типу ошибочного сообщения,
а также в момент, когда законный пользователь не проявляет актив-
ности, но продолжает занимать канал связи.
3. Аннулирование сигнала пользователя о завершении работы с систе-
мой и последующее продолжение работы от его имени.
Часть 2. Информационная безопасность автоматизированных систем
Подобные попытки проникновения могут быть вызваны не только
простым удовлетворением любопытства квалифицированного програм-
миста (пользователя), но и преднамеренным получением конфиденци-
альной информации.
4.7. Модель нарушителя информационных систем
Попытка получить несанкционированный доступ к информационной
системе или вычислительной сети с целью ознакомиться с ними, оставить
записку, выполнить, уничтожить, изменить или похитит программу или
иную информацию квалифицируется как компьютерное пиратство. Как
явление подобные действия прослеживаются в последние 15 лет, но при
этом наблюдается тенденция к их стремительному росту по мере увели-
чения числа бытовых ПК [21, 33].
Рост компьютерных нарушений ожидается в тех странах, где они ши-
роко рекламируются с помощью фильмов и книг, а дети в процессе игр
рано начинают знакомиться с компьютерами. Вместе с тем растет число
и более серьезных нарушений, связанных с умышленными действиями.
Так, например, известны случаи внедрения в военные системы НАТО,
США, нарушения телевизионной спутниковой связи, вывода из строя
электронных узлов регистрации на бензоколонках, использующих высо-
кочастотные усилители; известны попытки перевода в Швейцарию евро-
бонов на сумму 8,5 млн. долл, и разрушения европейской коммуника-
ционной сети связи. Из этого следует, что не только компьютеры, но и
другие электронные системы являются объектами злоумышленных дей-
ствий.
Авторам хотелось бы разделить два определения: хакер (hacker)
и кракер (cracker). Основное отличие состоит в постановке целей взлома
компьютерных систем: первые ставят исследовательские задачи по оцен-
ке и нахождению уязвимостей с целью последующего повышения на-
дежности компьютерной системы. Кракеры же вторгаются в систему
с целью разрушения, кражи, порчи, модификации информации и совер-
шают правонарушения с корыстными намерениями быстрого обогаще-
ния. Далее по тексту в некоторых случаях будем объединять их понятием
«взломщик». Очевидно, что при несанкционированном доступе к инфор-
мации наиболее губительным будет появление кракера. Иногда в литера-
туре можно встретить термин крекер.
Однако компьютерные пираты (кракеры) не интересуются, насколько
хорошо осуществляется в целом контроль в той или иной системе; они
ищут единственную лазейку, которая приведет их к желанной цели. Для
получения информации они проявляют незаурядную изобретательность,
163
Основы информационной безопасности
используя психологические факторы, детальное планирование и актив-
ные действия. Кракеры совершают компьютерные преступления, считая,
что это более легкий путь добывания денег, чем ограбление банков. При
этом они пользуются такими приемами, как взяточничество и вымога-
тельство, о которых заурядный владелец ЭВМ, возможно, читал, но ни-
когда не предполагал, что сам станет объектом таких действий. Однако
изобилие примеров говорит о том, что это не так. Объектами кракерских
атак становятся как фирмы и банки, так и частные лица. Вот всего лишь
несколько примеров.
«Забавы хакеров». «Недавно компьютерная сеть г. Северска (Том-
ская область) подверглась массированной атаке доморощенных хакеров.
В результате межрайонному отделу налоговой полиции был перекрыт
доступ в Интернет. Это вторжение в городскую компьютерную сеть было
не только зафиксировано налоговыми полисменами, но и задокументиро-
вано на магнитных носителях для дальнейшего использования в качестве
доказательства в случае возбуждения уголовного дела» [38].
«Суд над томскими хакерами». 16.02.2002 г. «Двух жителей Том-
ска, рассылавших через Интернет компьютерные вирусы, судят в район-
ном суде города. Их уголовное дело состоит из семи томов. С помощью
популярной программы ICQ злоумышленники распространяли по сети
файлы, зараженные вирусной программой типа «троянский конь». В ак-
тивированном виде вирус позволял хакерам получить доступ к ресурсам
зараженного компьютера, завладеть чужими паролями и контролировать
ввод данных с клавиатуры. Как сообщили в областном УФСБ, все нача-
лось в апреле 2000 г. с жалобы жителя Томска в ОАО «Томсктелеком»
на многократное увеличение месячной платы за пользование сетью Ин-
тернет. С 200 руб. сумма таинственным образом возросла в 5 раз, превы-
сив сначала одну, а потом 2 тыс. руб. в месяц. Пострадавший рассказал,
что недавно он получил по почте ICQ странное электронное письмо. Об-
следование компьютера потерпевшего выявило наличие вируса в систе-
ме. Вскоре был установлен номер телефона, с которого незаконно под-
ключались к Интернету. От действий подсудимых компьютерных воров
пострадало в городе еще более десяти человек. В Томской области
это первое доведенное до суда уголовное дело такого рода»
[39 www.dni.ru/news/societv/2002/2/16/6047.html1.
«Криминал» О. Никитский. Гор. Омск. «Два года назад в Омске
при помощи поддельной карты были ограблены банкоматы Омскпромст-
ройбанка системы «Золотая корона». Однако разработчики платежной
системы смогли тогда убедить общественность, что речь идет о случай-
ном доступе, не связанном со взломом системы защиты. Сегодня же, два
164
Часть 2. Информационная безопасность автоматизированных систем
года спустя, в Омске состоялся новый судебный процесс - над молодым
человеком, который сумел подделать микропроцессорную карту ОАО
«Омская электросвязь» и тем самым окончательно развенчал миф о не-
уязвимости смарт-технологий.
Согласно решению суда, эмуляторы (поддельные образцы) пластико-
вых карт, с помощью которых была ограблена «Золотая корона», изгото-
вил 23-летний Е. Монастырев, ведущий специалист отдела вычислитель-
ной техники Томского АКБ «Нефтеэнергобанк». По мнению следовате-
лей, при помощи служебного оборудования он изготовил поддельные
карты, с помощью которых в омских банкоматах неизвестные сообщники
сняли 25 тыс. долл. Программист получил 2 года. Экспертизу материалов
дела проводило ФАПСИ.
В суде города рассматривается дело о подделки телефонных карт, ко-
торые работают по тому же принципу, что и банковские, хотя немного
проще устроены: в зависимости от продолжительности разговора процес-
сор телефона-автомата изменяет количество тарифных единиц, записан-
ных в микропроцессоре карты. «При использовании телефонной карты
находящаяся на ней информация об отсутствии тарифных единиц не по-
ступала в телефонный аппарат, что позволяло пользоваться услугами свя-
зи без оплаты» - такое заключение вынесло следствие. После нейтрали-
зации самоучки доход от продажи карт вырос на 500 тыс. руб. Ущерб
от деятельности афериста составил 3 млн. руб.» [40].
Удивительно мало фирм и людей верит в то, что они могут постра-
дать от кракеров, и еще меньше таких, кто анализировал возможные уг-
розы и обеспечил защиту. Большинство менеджеров под действием
средств массовой информации считают компьютерными нарушителями
только школьников и применяют против них такое средство защиты, как
пароли. При этом они не осознают более серьезной опасности, которая
исходит от профессиональных или обиженных программистов, посколь-
ку не понимают мотивов, которыми руководствуются эти люди при со-
вершении компьютерных пиратств.
Для предотвращения возможных угроз фирмы должны не только
обеспечить защиту операционных систем, программного обеспечения
и контроля доступа, но и попытаться выявить категории нарушителей
и те методы, которые они используют.
В зависимости от мотивов, целей и методов действия всех взломщи-
ков можно разбить на несколько групп начиная с дилетантов и кончая
профессионалами. Их можно представить четырьмя группами:
• начинающим взломщиком;
• освоившим основы работы на ПЭВМ и в составе сети;
на
Основы информационной безопасности
• классным специалистом;
• специалистом высшего класса.
В табл. 2.11 представлены группы взломщиков в связке с их возмож-
ностями по реализации злонамеренных целей.
Таблица 2.11. Модель нарушителя в ИС
Группа Возможности проникновения
Запуск задач (программ) из фиксирован- ного набора, реализующих заранее пре- дусмотренные функции по обработке информации Создание и запуск собствен- ных про- грамм с новыми функциями по обработ- ке инфор- мации Возможность управления функциони- рованием ИС, т. е. воздей- ствие на ба- зовое ПО, на состав и кон- фигурацию ее оборудования Полное и всесторон- нее воздей- ствие на средства ИС, вплоть до включения в состав ИС своих средств и ПО
Начинающий взломщик +
Освоивший основы работы на ПЭВМ и в составе сети + +
Классный специалист + + +
Специалист высшего класса + + + +
Нарушитель является специалистом высшей квалификации, знает все
про информационные системы, и в частности о составе и средствах ее
защиты. Модель нарушителя определяет:
• категории лиц, в числе которых может оказаться нарушитель;
• возможные цели нарушителя и их градации по степени важности
и опасности;
• предположения о его квалификации;
• оценка его технической вооруженности;
• ограничения и предположения о характере его действий.
Часть 2. Информационная безопасность автоматизированных систем
Диапазон побудительных мотивов получения доступа к системе до-
вольно широк: от желания испытать эмоциональный подъем при игре
с компьютером до ощущения власти над ненавистным менеджером. За-
нимаются этим не только новички, желающие позабавиться, но и профес-
сиональные программисты. Пароли они добывают либо в результате до-
гадки, либо путем обмена с другими взломщиками.
Часть из них, однако, начинает не только просматривать файлы, но
и проявлять интерес к их содержимому, а это уже представляет серьез-
ную угрозу, поскольку в данном случае трудно отличить безобидное ба-
ловство от умышленных действий.
До недавнего времени вызывали беспокойство случаи, когда недо-
вольные руководителем служащие, злоупотребляя своим положением,
портили системы, допуская к ним посторонних или оставляя их в рабо-
чем состоянии без присмотра. Побудительными мотивами таких дейст-
вий являются:
• реакция на выговор или замечание со стороны руководителя;
• недовольство тем, что фирма не оплатила сверхурочные часы работы
(хотя чаще всего сверхурочная работа возникает из-за неэффективно-
го использования рабочего времени);
• злой умысел в качестве, например, реванша с целью ослабить фирму
как конкурента какой-либо вновь создаваемой фирмы.
Недовольный руководителем служащий создает одну из самых боль-
ших угроз вычислительным системам коллективного пользования; это
обусловлено еще и тем, что агентства по борьбе со взломщиками с боль-
шей охотой обслуживают владельцев индивидуальных компьютеров.
Профессиональные взломщики - это компьютерные фанаты, пре-
красно знающие вычислительную технику и системы связи. Они затрати-
ли массу времени на обдумывание способов проникновения в системы
и еще больше, экспериментируя с самими системами. Для вхождения
в систему профессионалы чаще всего используют некоторую системати-
ку и эксперименты, а не рассчитывают на удачу или догадку. Их цель -
выявить и преодолеть систему защиты, изучить возможности вычисли-
тельной установки и затем удалиться, самоутвердившись в возможности
достижения цели.
Благодаря высокой квалификации эти люди понимают, что степень
риска мала, так как отсутствуют мотивы разрушения или хищения. Дей-
ствительно, задержанные и привлекавшиеся к суду нарушители чаще
всего упрекали свое начальство в дурном с ними отношении и оправды-
167
Основы информационной безопасности
вали себя своей незащищенностью. Некоторые из них предлагали услуги
в качестве консультантов фирмам, где накопились подобные проблемы.
Все это свидетельствует о том, насколько опасно наивное отношение
ко взломщикам, которые, с одной стороны, по-детски хотят продемонст-
рировать свое умение внедряться в системы, а также ошибки и глупость
фирм, не имеющих мощных средств защиты, и, с другой стороны, в слу-
чае их выявления хотят понести такое наказание, как если бы они не пре-
следовали какого-либо злого умысла.
Такие личности, когда ими руководят недовольство и гнев, часто
отыгрываются на других и относятся к той категории людей, которые ни-
когда не настаивают на проведении проверок устройств защиты.
К категории взломщиков-профессионалов обычно относят: преступ-
ные группировки, преследующие политические цели; лиц, стремящихся
получить информацию в целях промышленного шпионажа, и, наконец,
группировки отдельных лиц, стремящихся к наживе. Приведем некото-
рые примеры их деятельности. Заместитель директора одной из фирм,
имея доступ к сети информационного обмена, «спускал пары», посылая
оскорбительные записки клиентам или перетасовывал телексы; своими
действия он фактически парализовал работу станции телексной связи.
Также, злоупотребляя возможностями центральной телексной связи, мо-
шенники смогли похитить 13,8 млн. долл., пересылавшихся телеграфом.
В результате прослушивания телефонных разговоров было похищено
780 тыс. ф. ст. Была предпринята попытка передачи евробонов на сумму
8,5 млн. долл, на один из личных счетов в Швейцарии.
Все описанные компьютерные махинации были тщательно спланиро-
ваны и совершены со знанием дела. Мотивом нарушений служили боль-
шие деньги, которые можно было получить, практически не рискуя. Во-
обще профессиональные пираты стремятся свести риск к минимуму. Для
этого они привлекают к соучастию работающих или недавно уволивших-
ся с фирмы служащих, поскольку для постороннего риск быть обнару-
женным при проникновении в банковские системы весьма велик. Слож-
ность и высокое быстродействие банковских вычислительных систем,
постоянное совершенствование методов ведения и проверки документов
и отчетности делают практически невозможным для постороннего лица
перехватить то или иное сообщение или внедриться в систему с целью
похитить данные. Существует и дополнительный риск: изменение одного
компонента может привести к сбою в работе другого и послужить сигна-
лом к объявлению тревоги.
Чтобы уменьшить риск, взломщики обычно завязывают контакты
со служащими, у которых есть финансовые или семейные проблемы. Так
сотни лет используется шпионаж как метод, вынуждающий людей идти
168
Часть 2. Информационная безопасность автоматизированных систем
на риск и преступления за минимальное вознаграждение или вовсе без
него. Большинство людей могут ни разу в жизни так и не столкнуться
со взломщиками, но бывает, что служащий, не осознавая своих слабо-
стей, например пристрастившись к алкоголю или азартным играм, неза-
метно для себя становится должником какого-либо букмекера, который,
возможно, связан с преступной организацией. Такой служащий может
сболтнуть лишнее на какой-нибудь вечеринке, не предполагая, что его
собеседник является профессиональным агентом.
Для осуществления несанкционированного доступа в информацион-
ную систему требуется, как правило, провести два подготовительных
этапа:
• собрать сведения о системе;
• выполнить пробные попытки вхождения в систему.
Сбор сведений. В зависимости от личности взломщика и его наклон-
ностей возможны различные направления сбора сведений:
• подбор соучастников;
• анализ периодических изданий, ведомственных бюллетеней и доку-
ментации;
• перехват сообщений электронной почты;
• подслушивание разговоров, телексов, телефонов;
• перехват информации и электромагнитного излучения;
• организация краж;
• вымогательство и взятки.
Многие владельцы систем часто не представляют, какую кропотли-
вую подготовительную работу должен провести нарушитель, чтобы про-
никнуть в ту или иную компьютерную систему. Поэтому они самонаде-
янно полагают, что то единственное, что необходимо сделать, - это за-
щитить файл, указав ему пароль, и забывают, что любая информация
о тех или иных слабых местах системы может помочь взломщику найти
лазейку и обойти пароль, получив доступ к файлу. Таким образом, ин-
формация становится легкодоступной, если взломщик знает, где и что
смотреть. Так, даже простая брошюра, описывающая возможности сис-
темы, может оказаться весьма полезной взломщику, который не знаком
с системой, и может послужить ключом для вхождения в систему.
Полная картина вырисовывается в процессе постепенного и тщатель-
ного сбора информации. И если начинающие взломщики должны прило-
169
Основы информационной безопасности
жить к этому все свое умение, то профессионалы достигают результатов
гораздо быстрее.
Подбор соучастников. Подбор соучастников основан на подслуши-
вании разговоров в барах, фойе отелей, ресторанах, такси, подключении
к телефонам и телексам, изучении содержимого потерянных портфелей
и документов. Большую и полезную информацию можно извлечь, если
представляется возможность подсесть к группе программистов, например
в баре. Этот способ часто используют репортеры и профессиональные
агенты.
Извлечение информации из периодических изданий. Взломщики
могут почерпнуть много полезной информации из газет и других перио-
дических изданий.
Перехват сообщений электронной почты. Обычно для подключе-
ния к электронной почте используется бытовой компьютер с модемом
для связи с государственной телефонной сетью.
Телефонный канал доступа в такую систему обычно свободен, хотя
в последнее время системные операторы требуют установки устройств
регистрации пользователей электронной почты. Вплоть до недавнего
времени многие справочные системы были оснащены блоками, через ко-
торые взломщики могли извлекать большие объемы данных, а также
идентификаторы и пароли пользователей.
Недавние случаи арестов и судебного преследования кракеров
в США и Великобритании позволили выявить, насколько усложнились
способы извлечения информации. Сейчас нет ничего необычного в том,
что блоки, установленные кракерами, могут быть зашифрованы и только
отдельные члены преступных группировок могут считывать с них ин-
формацию.
Завязывание знакомств. Для установления контактов с целью полу-
чить информацию о вычислительной системе или выявить служебные
пароли взломщики могут использовать разнообразные приемы. Напри-
мер, знакомясь, они представляются менеджерами; используют вопрос-
ники, раздавая их в фойе фирмы и детально расспрашивая сотрудников
о компьютерной системе; звонят оператору ЭВМ в обеденное время
с просьбой напомнить якобы забытый пароль; прогуливаются по зданию,
наблюдая за доступом к системе; устанавливают контакты с незанятыми
в данный момент служащими охраны, которым посетители при входе в
здание фирмы должны предъявлять идентификационный код или пароль.
Более злонамеренным, но, возможно, и более успешным является ме-
тод «охоты за мозгами», когда на фирму приходит человек, якобы же-
Часть 2. Информационная безопасность автомата тированных систем
лающий работать системным программистом или инженером по линиям
связи, и просит дать ему консультацию. Удивительно, как много инфор-
мации может передать вовне служащий, не имеющий перспективы роста,
но считающий себя достойным более важной и высокооплачиваемой
должности; он может раскрыть коды пользователей, пароли, указать сла-
бые места в сетях связи.
Анализ распечаток. Некоторые взломщики получили доступ к ЭВМ
просто изучая распечатки, и это один из наиболее эффективных и наименее
рискованных путей получения конфиденциальной информации. Много-
численные фирмы все еще теряют информацию со своих компьютерных
систем, во-первых, ошибочно думая, что она не содержит конфиденци-
альной информации, и, во-вторых, ошибочно полагая, что все черновые
распечатки добросовестно уничтожаются. Именно таким способом
взломщики смогли получить весьма полную картину организации ком-
пьютерной системы, используя выброшенные распечатки и невостребо-
ванные протоколы работы системы, которые сотрудникам вычислитель-
ного центра представлялись безобидными бумажками.
Перехват сообщений в каналах связи. Долгое время считалось, что
о перехвате сообщений может идти речь лишь в связи с деятельностью
военных или секретных служб. Благодаря тому что число фирм, осна-
щенных вычислительной техникой, постоянно растет, перехват сообще-
ний стал весьма реальной угрозой и для коммерческого мира. Спектр
возможных перехватов весьма широк - перехват устных сообщений с ис-
пользованием радиопередатчиков, микрофонов и микроволновых уст-
ройств; подслушивание сообщений, передаваемых по телефону, телексу
и другим каналам передачи данных; контроль за электромагнитным излу-
чением от дисплеев; перехват спутниковых или микроволновых передач.
Установкой радиопередатчиков, микрофонов и микроволновых уст-
ройств или прослушиванием линий связи обычно занимаются профес-
сиональные взломщики, а также предприимчивые любители и специали-
сты по связи. В последнее время число случаев установки таких уст-
ройств возросло. Излюбленными точками бесконтрольного доступа
являются телефонные линии.
Существует риск при использовании трехуровневых систем связи,
поскольку абонент не в состоянии контролировать работу инженеров
и доступ в здание и к оборудованию. Передача данных с коммутацией
пакетов или с использованием широкополосных линий связи со скоро-
стями в тысячу и миллионы бод вызывает интерес у взломщиков и может
быть перехвачена, чтобы выкрасть передаваемые сообщения, модифици-
ровать их содержимое, задержать или удалить.
171
Основы информационной безопасности
Не следует недооценивать тех трудностей, которые возникают при
перехвате больших потоков слабосвязанной информации и при попытках
объединить ее в нечто напоминающее исходное сообщение. Для этого
может потребоваться достаточно мощный мини-компьютер, устройство
для выделения сигналов отдельных каналов и терминал, на который по-
ступают двоичные цифровые сигналы; хотя это весьма сложно, но воз-
можно.
Кражи. Администраторы и менеджеры фирм получили возможность
брать работу домой или при необходимости связываться и передавать
информацию по телефонным каналам в банк данных фирмы. Коммивоя-
жеры могут совершать сделки, используя терминалы в номерах отелей,
или получать доступ к информации непосредственно из салона автомо-
биля. Эго создает почву для осуществления краж в домах, автомобилях,
отелях с целью получить информацию для последующего вхождения
в вычислительную систему.
Взятки и вымогательство. Преступный мир традиционно играет на
человеческих слабостях и несчастьях, таких, как чрезмерное увлечение
азартными играми, семейные неурядицы, трудноразрешимые финансо-
вые проблемы, долги, оплата медицинских счетов и т. и.
Часто посещая бары, казино, скачки, информаторы, нанятые краке-
рами, быстро выявляют людей, готовых идти на контакт. К сожалению,
большинство фирм не предусматривает ни штата сотрудников по безо-
пасности, ни каких-либо дисциплинарных процедур, чтобы обнаружить,
помешать или снизить риск от действий служащих, попавших под влия-
ние кракеров.
Получив необходимый объем предварительной информации, компь-
ютерный кракер делает следующий шаг - осуществляет непосредствен-
ное вторжение в систему. Используемые им при этом средства будут за-
висеть от количества информации, имеющейся в его распоряжении. Что-
бы осуществить несанкционированное вхождение в систему, кракеру
требуется знать номер телефона или иметь доступ к линии связи, иметь
протоколы работы, описания процедур входа в систему, код пользователя
и пароль. Если кракер не знает телефонного адреса порта, он должен ли-
бо узнать его, завязывая знакомства, либо воспользоваться автонабирателем.
Реальный пример проникновения кракера в информационную систе-
му ВВС США приведен с подробностями в журнале «Computer World»
(1994. № 37) в статье «Арестован хакер, вторгшийся в компьютерную
сеть ВВС США».
172
Часть 2. Информационная безопасность автоматизированных систем
Прихожу домой.
Ем, пью, сплю за ваш счет.
Работаю круглосуточно.
Объявление
5. Методы и модели оценки уязвимости информации
Уязвимость информации есть событие, возникающее как результат
такого стечения обстоятельств, когда в силу каких-то причин используе-
мые в автоматизированных системах обработки данных средства защиты
не в состоянии оказать достаточного противодействия проявлению дес-
табилизирующих факторам и нежелательного их воздействия на защи-
щаемую информацию. Модель уязвимости информации в автоматизиро-
ванных системах обработки данных в общем виде показана на рис. 2.15.
Рис. 2.15. Общая модель воздействия на информацию
Данная модель детализируется при изучении конкретных видов уяз-
вимости информации: нарушения физической или логической целостно-
сти, несанкционированной модификации, несанкционированного полу-
чения, несанкционированного размножения.
При детализации общей модели основное внимание акцентируется
на том, что подавляющее большинство нарушений физической целостно-
сти информации имеет место в процессе ее обработки на различных уча-
стках технологических маршрутов. При этом целостность информации
зависит не только от процессов, происходящих на объекте, но и от цело-
стности информации, поступающей на его вход. Основную опасность
представляют случайные дестабилизирующие факторы (отказы, сбои
и ошибки компонентов автоматизированных систем обработки данных),
173
Основы информационной безопасности
которые потенциально могут проявиться в любое время, и в этом отно-
шении можно говорить о регулярном потоке этих факторов. Из стихий-
ных бедствий наибольшую опасность представляют пожары, опасность
которых в большей или меньшей степени также является постоянной.
Опасность побочных явлений практически может быть сведена к нулю
путем надлежащего выбора места для помещений автоматизированной
системы обработки данных и их оборудования. Что касается злоумыш-
ленных действий, то они связаны главным образом с несанкционирован-
ным доступом к ресурсам автоматизированной системы обработки дан-
ных. При этом наибольшую опасность представляет занесение вирусов.
В соответствии с изложенным общая модель процесса нарушения
физической целостности информации на объекте автоматизированной
системы обработки данных представлена на рис. 2.16.
Регулярные потоки
Потенциально возможные
Рис. 2.16. Общая модель процесса нарушения
физической целостности информации
С точки зрения несанкционированного получения информации прин-
ципиально важным является то обстоятельство, что в современных авто-
матизированных системах обработки данных оно возможно не только пу-
тем непосредственного доступа к базам данных, но и многими путями,
не требующими такого доступа. При этом основную опасность
представляют злоумышленные действия людей. Воздействие случайных
факторов непосредственно не ведет к несанкционированному получению
информации, оно лишь способствует появлению каналов
несанкционированного получения информации, которыми может
воспользоваться злоумышленник. Структурированная схема
потенциально возможных злоумышленных действий в автоматизи-
174
Часть 2. Информационная безопасность автоматизированных систем
ленных действий в автоматизированных системах обработки данных для
самого общего случаю представлена на рис. 2.17.
Рис. 2.17. Структурированная схема потенциально
возможных злоумышленных действий в автоматизированных
системах обработки данных
Обозначенные на рис. 2.17 зоны определяются следующим образом.
1. Внешняя неконтролируемая зона - территория вокруг автоматизиро-
ванной системы обработки данных, на которой персоналом и средст-
вами автоматизированной системы обработки данных не применя-
ются никакие средства и не осуществляются никакие мероприятия
для защиты информации.
2. Контролируемая зона - территория вокруг помещений автоматизи-
рованной системы обработки данных, которая непрерывно контро-
лируется персоналом или средствами автоматизированной системы
обработки данных.
3. Зона помещений автоматизированной системы обработки данных -
внутреннее пространство тех помещений, в которых расположена
система.
4. Зона ресурсов автоматизированной системы обработки данных -
та часть помещений, откуда возможен непосредственный доступ
к ресурсам системы.
5. Зона баз данных - та часть ресурсов системы, с которой возможен
непосредственный доступ к защищаемым данным.
Злоумышленные действия с целью несанкционированного получения
информации в общем случае возможны в каждой из перечисленных зон.
Основы информационной безопасности
При этом для несанкционированного получения информации необходимо
одновременное наступление следующих событий: нарушите пн должен
Получить доступ в соответствующую зону; во время нахождения нару-
шителя в зоне в ней должен прожиться (иметь место) соответствующий
канал несанкционированного получения информации; соответствующий
канал несанкционированного получения информации должен быть дос-
тупен нарушителю соответствующей категории; в канале несанкциони-
рованного получения информации в момент доступа к нему нарушителя
должна находиться защищаемая информации.
Рассмотрим далее трансформацию общей модели уязвимости с точки
зрения несанкционированного размножения информации. Принципиаль-
ными особенностями этого процесса являются:
• любое несанкционированное размножение есть злоумышленное дей-
ствие;
• несанкционированное размножение может осуществляться в органи-
зациях-разработчиках компонентов автоматизированной системы об-
работки данных, непосредственно в автоматизированной системе об-
работки данных и сторонних организациях, причем последние могут
получать носитель, с которого делается попытка снять копию как за-
конным, так и незаконным путем.
Попытки несанкционированного размножения информации у разра-
ботчика и в автоматизированной системе обработки данных есть один
из видов злоумышленных действий с целью несанкционированного ее
получения и поэтому имитируются приведенной моделью. Если же носи-
тель с защищаемой информацией каким-либо путем (законным или неза-
конным) попал в стороннюю организацию, то для его несанкционирован-
ного копирования могут использоваться любые средства и методы,
включая и такие, которые носят характер научных исследований и опыт-
но-конструкторских разработок.
В процессе развития теории и практики защиты информации сфор-
мировалось три методологических подхода к оценке уязвимости инфор-
мации: эмпирический, теоретический и теоретико-эмпирический.
5.1. Эмпирический подход к оценке уязвимости
информации
Сущность эмпирического подхода заключается в том, что на основе
длительного сбора и обработки данных о реальных проявлениях угроз
информации и о размерах того ущерба, который при этом имел место,
чисто эмпирическим путем устанавливаются зависимости между потен-
циально возможным ущербом и коэффициентами, характеризующими
Ж
Часть 2. Информационная безопасность автоматизированных систем
частоту проявления соответствующей угрозы и значения имевшего при
ее проявлении размера ущерба.
Наиболее характерным примером моделей рассматриваемой разно-
видности являются модели, разработанные специалистами американской
фирмы IBM. Рассмотрим развиваемые на этих моделях подходы.
Исходной посылкой при разработке моделей является почти очевид-
ное предположение: с одной стороны, при нарушении защищенности ин-
формации наносится некоторый ущерб, с другой - обеспечение защиты
информации сопряжено с расходованием средств. Полная ожидаемая
стоимость защиты может быть выражена суммой расходов на защиту
и потерь от ее нарушения. Совершенно очевидно, что оптимальным ре-
шением было бы выделение на защиту информации средств минимизи-
рующих общую стоимость работ по защите информации.
Для того чтобы воспользоваться данным подходом к решению про-
блемы, необходимо знать (или уметь определять), во-первых, ожидаемые
потери при нарушении защищенности информации, а во-вторых, зависи-
мость между уровнем защищенности и средствами, затрачиваемыми
на защиту информации.
Решение первого вопроса, т. е. оценки ожидаемых потерь при нару-
шении защищенности информации, принципиально может быть получе-
но лишь тогда, когда речь идет о защите промышленной, коммерческой
и им подобной тайны, хотя и здесь встречаются весьма серьезные труд-
ности. Что касается оценки уровня потерь при нарушении статуса защи-
щенности информации, содержащей государственную, военную и им по-
добную тайну, то здесь до настоящего времени строгие подходы к их по-
лучению не найдены. Данное обстоятельство существенно сужает
возможную область использования моделей, основанных на рассматри-
ваемых подходах.
Для определения уровня затрат обеспечивающих требуемый уро-
вень защищенности информации, необходимо по крайней мере знать, во-
первых, полный перечень угроз информации, во-вторых, потенциальную
опасность для информации для каждой из угроз и, в-третьих, размеры за-
трат, необходимых для нейтрализации каждой из угроз.
Поскольку оптимальное решение вопроса о целесообразном уровне
затрат на защиту состоит в том, что этот уровень должен быть равен
уровню ожидаемых потерь при нарушении защищенности, достаточно
определить только уровень потерь. Специалистами фирмы IBM предло-
жена следующая эмпирическая зависимость ожидаемых потерь от /-й уг-
розы информации:
7? = IO1'''1 4|.
177
Основы информационной безопасности
где S, - коэффициент, характеризующий возможную частоту возникнове-
ния соответствующей угрозы; F, - коэффициент, характеризующий зна-
чение возможного ущерба при ее возникновении. Предложенные специа-
листами значения коэффициентов следующие:
значения коэффициента S',.
Ожидаемая (возможная) частота появления угрозы Предполагаемое значение S,
Почти никогда 0
1 раз в 1000 лет 1
1 раз в 100 лет 2
1 раз в 10 лет 3
1 раз в год 4
1 раз в месяц (примерно, 10 раз в год) 5
1-2 раза в неделю (примерно 100 раз в год) 6
3 раза в день (1000 раз в год) 7
возможные значения коэффициента Vt.
Значение возможного ущерба при проявлении угрозы, долл. Предполагаемое значение С
1 0
10 1
100 2
1000 3
10 000 4
100 000 5
1 000 000 6
10 000 000 7
Суммарная стоимость потерь определяется формулой
Таким образом, если бы удалось собрать достаточное количество
фактических данных о проявлениях угроз и их последствиях, то рассмот-
ренную модель можно было бы использовать для решения достаточно
широкого круга задач защиты информации, причем нетрудно видеть, что
модель позволяет не только находить нужные решения, но и оценивать
их точность. По России такая статистика в настоящее время практически
Часть 2. Информационная безопасность автоматизированных систем
отсутствует. В США же, например, сбору и обработке указанных данных
большое внимание уделяет целый ряд учреждений (Стэнфордский иссле-
довательский институт и др.). В результате уже получены достаточно
представительные данные по целому ряду угроз, которые могут быть по-
ложены в основу ориентировочных расчетов и для других стран.
5.2. Система с полным перекрытием
Естественным продолжением моделей оценки угроз автоматизиро-
ванных систем обработки данных являются модели нейтрализации этих
угроз, т. е. модели защиты. Наиболее общей моделью защиты является
модель с так называемой системой с полным перекрытием.
При построении данной модели в качестве исходной взята естествен-
ная посылка, состоящая в том, что в механизме защиты должно содер-
жаться по крайней мере одно средство для перекрытия любого потенци-
ально возможного канала утечки информации. Методика формального
описания такой системы заключается в следующем:
• составляется полный перечень объектов системы, подлежащих защите;
• составляется полный перечень потенциально возможных угроз ин-
формации, т. е. возможных вариантов злоумышленных действий;
• определяется количественная мера соответствующей угрозы для со-
ответствующего объекта;
• формируется множество средств защиты информации в вычисли-
тельной системе;
• определяется количественная мера возможности противодействия.
Если она превышает уровень угрозы, то система зашиты достаточна.
Очевидно, что если множество М таково, что устраняются все ребра
графа, то такая система является системой с полным перекрытием.
Одной из разновидностей теоретически строгих моделей являются
модели систем разграничения доступа к ресурсам автоматизированной
системы обработки данных.
В самом общем виде существо этих моделей может быть представле-
но следующим образом. Автоматизированная система обработки данных
является системой множественного доступа, т. е. к одним и тем же ее ре-
сурсам (техническим средствам, программам, массивам данных) имеет
законное право обращаться некоторое число пользователей (абонентов).
Если какие-либо из указанных ресурсов являются защищаемыми, то дос-
туп к ним должен осуществляться лишь при предъявлении соответст-
вующих полномочий. Система разграничения доступа и должна стать тем
179
Основы информационной безопасности
механизмом, который регулирует такой доступ. Требования к этому ме-
ханизму на содержательном уровне состоят в том, что, с одной стороны,
не должен быть разрешен доступ пользователям (или их процессам),
не имеющим на это полномочий, а с другой - не должно быть отказано
в доступе пользователям (или их процессам), имеющим соответствующие
полномочия.
5.3. Практическая реализация модели «угроза - защита»
В качестве примера практической реализации модели «угроза - за-
щита» рассмотрим табл. 2.12, где представлена информация ООО «Тех-
ИнформКонсалтинг», г. Москва, для случая широкомасштабного внедре-
ния в России акцизных марок с объемной криптоголографической защитой.
В ней отчетливо выделяются как технические, так и организационные
методы защиты информации.
Таблица 2.12. Перечень возможных вариантов угроз и защиты от них
Угроза Защита
Подделка информации в марках 1. Информация в марках защищается путем применения электронной цифровой подписи (ЭЦП), что не позволяет производить марки с произвольной информацией, а так- же вносить в нее исправления. 2. Используемое в системе средство криптографической защиты информации (СКЗИ) «ВЕРБА-OW» имеет сер- тификат ФАПСИ № СФ/114-0174 от 10.04.1997 г, что гарантирует его надежность и обеспечивает юридиче- скую значимость защищенной информации
Копирование ин- формации в марках 1. Так как система ведет учет продукции с точностью до одной единицы и каждая марка подписывается ЭЦП, то информация на каждой марке является уникальной и не подаежит массовому копированию. Так, например, для копирования партии марок в количестве 10 тыс. шт. тру- дозатраты составляют примерно 2 рабочих человеком месяца при условии автоматизации этого процесса и ра- боты без остановки в течение всего рабочего дня. Без ав- томатизации процесса время копирования марок увели- чивается на несколько порядков. 2. Так как в системе вся информация по проведенным проверкам экспортируется в центральную базу данных, то дублирование марок легко выявляется на этапе анали- за результатов их проверок
180
Часть 2. Информационная безопасность автоматизированных систем
Окончание табл. 2.12
Угроза Защита
Кража готовых марок В случае кражи партии готовых марок информация о них заносится в центральную базу данных. При прове- дении проверок продукция, маркированная этими мар- ками, легко выявляется
Перепродажа готовых марок При печати марок на них наносится информация, полностью описывающая данную конкретную единицу продукции, включая наименование, производителя, да- ту производства, тару, маркирующую организацию, сопроводительные документы и т. д., защищенную от подделки и модификации ЭЦП. На основании этой ин- формации при проведении проверки легко выявляется несоответствие между марками, маркированной про- дукцией и сопроводительными документами
Сговор с разработчиками 1. Проверка подлинности и авторства информации в защитных марках осуществляется с помощью элек- тронной цифровой подписи. Так как разработчики не имеют доступа к используемым закрытым ключам ЭЦП, то сговор по подделке марок невозможен. 2. Отсутствие закладок в используемых программах может гарантироваться путем их сертификации в Госу- дарственной технической комиссией при Президенте РФ (ФСТЭК России)
Сговор с инспектором Для исключения фактов искажения или несообщения инспектором результатов проверки марок в системе предусмотрена специальная «фискальная» память, в которую заносится вся информация о проведенных проверках. Далее эта информация экспортируется в центральную базу данных дая анализа
Сговор с персона- лом инспекции дая модификации цен- тральной базы дан- ных системы Для защиты информации от несанкционированного доступа центральная база данных разработана на СУБД Oracle 8, что обеспечивает высокую надежность хране- ния и защиты информации, а также масштабируемость системы. СУБД Oracle 8 имеет сертификат Государст- венной технической комиссией при Президенте РФ № 168 по классу защищенности 1В
181
Основы информационной безопасности
Мудрец ищет всего в себе,
безумец - всего в другом.
Конфуций
6. Рекомендации по использованию моделей
оценки уязвимости информации
Как правило, модели позволяют определять текущие и прогнозиро-
вать будущие значения всех показателей уязвимости информации для
любых компонентов автоматизированной системы обработки данных,
любой их комбинации и для любых условий жизнедеятельности автома-
тизированной системы обработки данных. Некоторые замечания по ис-
пользованию.
1. Практически все модели строятся в предположении независимости
тех случайных событий, совокупности которых образуют сложные
процессы защиты информации в современных автоматизированных
системах обработки данных.
2. Для обеспечения работы моделей необходимы большие объемы та-
ких исходных данных, подавляющее большинство которых в на-
стоящее время отсутствует, а формирование сопряжено с большими
трудностями.
Определим замечание первое - допущение независимости случайных
событий, происходящих в системах зашиты информации. Основными со-
бытиями, имитируемыми в моделях определения показателей уязвимо-
сти, являются: проявление дестабилизирующих факторов, воздействие
проявившихся дестабилизирующих факторов на защищаемую информа-
цию и воздействие используемых средств защиты на дестабилизирующие
факторы. При этом обычно делаются следующие допущения.
1. Потенциальные возможности проявления каждого дестабилизирую-
щего фактора не зависят от проявления других.
2. Каждый из злоумышленников действует независимо от других, т. е.
не учитываются возможности формирования коалиции злоумыш-
ленников.
3. Негативное воздействие на информацию каждого из проявившихся
дестабилизирующих факторов не зависит от такого же воздействия
других проявившихся факторов.
4. Негативное воздействие дестабилизирующих факторов на информа-
цию в одном каком-либо компоненте автоматизированной системы
обработки данных может привести лишь к поступлению на входы
182
Часть 2. Информационная безопасность автоматизированных систем
связанных с ним компонентов информации с нарушенной защищен-
ностью и не оказывает влияния на такое же воздействие на инфор-
мацию в самих этих компонентах.
5. Каждое из используемых средств защиты оказывает нейтрализую-
щее воздействие на дестабилизирующие факторы и восстанавли-
вающее воздействие на информацию независимо от такого же воз-
действия других.
6. Благоприятное воздействие средств защиты в одном компоненте ав-
томатизированной системы обработки данных лишь снижает веро-
ятность поступления на входы связанных с ним компонентов ин-
формации с нарушенной защищенностью и не влияет на уровень за-
щищенности информации в самих этих компонентах.
В действительности же события, перечисленные выше являются за-
висимыми, хотя степень зависимости различна: от незначительной, кото-
рой вполне можно пренебречь, до существенной, которую следует учи-
тывать. Однако для решения данной задачи в настоящее время нет необ-
ходимых предпосылок, поэтому остаются лишь методы экспертных
оценок.
Второе замечание касается обеспечения моделей необходимыми ис-
ходными данными. Ранее уже неоднократно отмечалось, что для практи-
ческого использования моделей определения показателей уязвимости не-
обходимы большие объемы разнообразных данных, причем подавляющее
большинство из них в настоящее время отсутствует.
Сформулируем теперь рекомендации по использованию моделей,
разработанных в рамках рассмотренных ранее допущений, имея в виду,
что это использование, обеспечивая решение задач анализа, синтеза и
управления в системах защиты информации, не должно приводить к су-
щественным погрешностям.
Первая и основная рекомендация сводится к тому, что моделями
должны пользоваться квалифицированные специалисты-профессионалы
в области защиты информации, которые могли бы в каждой конкретной
ситуации выбрать наиболее эффективную модель и критически оценить
степень адекватности получаемых решении.
Вторая рекомендация заключается в том, что модели надо использо-
вать не просто для получения конкретных значений показателей уязви-
мости, а для оценки поведения этих значений при варьировании сущест-
венно значимыми исходными данными в возможных диапазонах их из-
менений. В этом плане модели определения значений показателей
уязвимости могут служить весьма ценным инструментом при проведении
деловых игр по защите информации.
Основы информационной безопасности
Третья рекомендация сводится к тому, что для оценки адекватности
моделей, исходных данных и получаемых решений надо возможно шире
привлекать квалифицированных и опытных экспертов.
Четвертая рекомендация заключается в том, что для эффективного
использования моделей надо непрерывно проявлять заботу об исходных
данных, необходимых для обеспечения моделей при решении задач за-
щиты. Существенно важным при этом является то обстоятельство, что
подавляющее количество исходных данных обладает высокой степенью
неопределенности. Поэтому надо не просто формировать необходимые
данные, а перманентно их оценивать и уточнять.
Легче зажечь одну маленькую
свечу, чем клясть темноту.
Конфуций
7. Методы определения требований
к защите информации
В самом общем виде и на чисто прагматическом уровне требования
к защите могут быть определены как предотвращение угроз информации,
по крайней мере тех из них, проявление которых может привести к суще-
ственно значимым последствиям. Но поскольку, как рассматривалось
раньше, защита информации есть случайный процесс (показатели уязви-
мости носят вероятностный характер), то и требования к защите должны
выражаться терминами и понятиями теории вероятностей.
По аналогии с требованиями к надежности технических систем,
обоснованными в классической теории систем, требования к защите мо-
гут быть сформулированы в виде условия
где Р3 - вероятность защищенности информации; /’</ - требуемый уро-
вень защищенности. С требованиями, выраженными в таком виде, можно
оперировать с использованием методов классической теории систем при
решении задач защиты всех классов: анализа, синтеза и управления.
Однако из предыдущих разделов известно, что решение проблем за-
шиты информации сопряжено с исследованиями и разработкой таких
систем и процессов, в которых и конкретные методы, и общая идеология
классической теории могут быть применены лишь с большими оговорка-
ми. Для повышения степени адекватности применяемых моделей реаль-
ным процессам необходим переход от концепции создания инструмен-
184
Часть 2. Информационная безопасность автоматизированных систем
тальных средств получения необходимых решений на инженерной осно-
ве к концепции создания методологического базиса и инструментальных
средств для динамического оптимального управления соответствующими
процессами.
С учетом данного подхода в самом общем виде и на содержательном
уровне требования к защите информации могут быть сформулированы
в следующем виде.
Конкретные требования к защите, обусловленные спецификой авто-
матизированной обработки информации, определяются совокупностью
следующих факторов:
• характером обрабатываемой информации;
• объемом обрабатываемой информации;
• продолжительностью пребывания информации в АСОИ;
• структурой автоматизированной системы обработки данных;
• видом защищаемой информации;
• технологией обработки информации;
• организацией информационно-вычислительного процесса в автома-
тизированной системе обработки данных;
• этапом жизненного цикла автоматизированной системы обработки
данных.
По характеру (с точки зрения требуемой защиты) информацию мож-
но разделить на общедоступную, конфиденциальную, служебную, сек-
ретную и совершенно секретную.
Соответствующие рекомендации по предъявлению требований к за-
щите могут быть следующими.
1. При обработке общедоступной информации никаких специальных
мер защиты от НДС не требуется.
2. Требования к защите конфиденциальной информации определяет
пользователь, устанавливающий статус конфиденциальности.
3. При обработке служебной информации к ней должен быть обеспе-
чен свободный доступ пользователям учреждения-владельца этой ин-
формации (по общему списку); доступ же пользователей, не включенных
в общий список, должен осуществляться по разовым санкциям, выдавае-
мым пользователям, включенным в список.
4. При обработке секретной информации в зависимости от ее объема
и характера может быть предъявлен один из следующих вариантов тре-
бований:
185
Основы информационной безопасности
• персональное разграничение - для каждого элемента информации
составляется список пользователей, имеющих к нему право доступа;
• коллективное разграничение - структура баз защищаемых данных
организуется в соответствии со структурой подразделений, участ-
вующих в обработке защищаемой информации; пользователи каждо-
го подразделения имеют право доступа к только к «своим» данным.
5. При обработке совершенно секретной информации список лиц,
имеющих право доступа, должен составляться для каждого самостоя-
тельного элемента информации с указанием дней и времени доступа,
а также перечня разрешенных процедур.
Требования, связанные с размещением защищаемой информации, мо-
гут заключаться в следующем.
При обработке информации, размещенной только в оперативном за-
поминающем устройстве (ОЗУ), должны обеспечиваться требуемые уро-
вень защиты и надежность в центральном вычислителе и на коммуника-
циях ввода-вывода данных. При обработке информации, размещенной на
одном внешнем носителе, дополнительно к предыдущему должна обес-
печиваться защита в соответствующем внешнем запоминающем устрой-
стве (ВЗУ) и коммуникациях, связывающих это устройство с процессо-
ром.
При обработке информации, размещенной на нескольких внешних
носителях, дополнительно к предыдущему должна обеспечиваться необ-
ходимая изоляция друг от друга данных, размещенных на различных но-
сителях при одновременной их обработке.
При обработке информации, размещенной на очень большом количе-
стве носителей, дополнительно к предыдущему должна обеспечиваться
защита в хранилищах носителей и на коммуникациях, связывающих хра-
нилища с помещениями, в которых установлены ВЗУ.
С точки зрения продолжительности пребывания защищаемой инфор-
мации в автоматизированной системе обработки данных требования
к защите формулируются следующим образом:
• Информация разового использования подлежит защите в процессе
подготовки, ввода, решения задач и выдачи результатов решения.
После этого защищаемая информация должна быть уничтожена во
всех устройствах автоматизированной системы обработки данных.
• Информация временного хранения дополнительно к предыдущему
подлежит защите в течение объявленного времени хранения, после
чего должна быть уничтожена во всех устройствах автоматизирован-
ной системы обработки данных и на всех носителях, используемых
Часть 2. Информационная безопасность автоматизированных систем
для ее хранения. Продолжительность хранения задается или длиной
промежутка времени, или числом сеансов решения соответствующих
функциональных задач.
• Информация длительного хранения подлежит постоянной защите,
уничтожение ее должно выполнятся по определенным командам.
Требования, определяемые структурой автоматизированной системы
обработки данных, могут быть сформулированы в следующем виде.
Информация должна защищаться во всех структурных элементах ав-
томатизированной системы обработки данных, причем специфические
требования к защите информации в структурных элементах различного
типа сводятся к следующему.
1. В терминалах пользователей:
• защищаемая информация может находиться только во время сеанса
решения задач, после чего подлежит уничтожению;
• устройства отображения и фиксации информации должны распола-
гаться так, чтобы исключить возможность просмотра отображаемой
(выдаваемой) информации со стороны;
• информация, имеющая ограничительный гриф, должна выдаваться
(отображаться) совместно с этим грифом;
• должны быть предусмотрены возможности быстрого (аварийного)
уничтожения информации, находящейся в терминале (в том числе
и на устройствах отображения).
2. В устройствах группового ввода-вывода (УГВВ):
• в простых УГВВ и в сложных с малым объемом запоминающего уст-
ройства (ЗУ) защищаемая информация может находиться только во
время решения задач, после чего подлежит уничтожению; в сложных
с большим объемом ЗУ информация может храниться в ВЗУ, однако
продолжительность хранения должна быть ограниченной;
• устройства отображения и фиксации информации должны распола-
гаться так, чтобы исключить возможность просмотра отображаемой
(выдаваемой) информации со стороны;
• информация, имеющая ограничительный гриф, должна выдаваться
(отображаться) совместно с этим грифом;
• в УГВВ с возможностями универсального процессора при каждом
обращении к защищаемой информации должны осуществляться про-
цедуры:
Ж
Основы информационной безопасности
установления подлинности (опознавания) вступающих в работу
терминалов и пользователей;
проверки законности каждого запроса на соответствие предостав-
ленным пользователю полномочиям;
проверки адреса выдачи информации, имеющей ограничительный
гриф, и наличия этого грифа;
контроля обработки защищаемой информации;
регистрации запросов и всех нарушений правил защиты;
• при выдаче информации в линии связи должны осуществляться:
проверка адреса выдачи информации;
маскировка (закрытие) содержания защищаемой информации, вы-
даваемой в линии связи, проходящей по неконтролируемой терри-
тории;
• должны быть предусмотрены возможности аварийного уничтожения
информации как в ОЗУ, так и в ВЗУ, а также подачи команды на ава-
рийное уничтожение информации в сопряженных с УГВВ термина-
лах.
3. В аппаратуре и линиях связи:
• защищаемая информация должна находиться только в течение сеан-
са; в ЗУ аппаратуры связи могут храниться только служебные части
передаваемых сообщений;
• линии связи, по которым защищаемая информация передается в яв-
ном виде, должны находиться под непрерывным контролем во время
передачи информации;
• перед началом каждого сеанса передачи защищаемой информации
должна осуществляться проверка адреса выдачи данных;
• при передаче большого объема защищаемой информации проверка
адреса передачи должна периодически производиться в процессе пе-
редачи (через заданный промежуток времени или после передачи за-
данного числа знаков сообщения);
• при наличии в составе аппаратуры связи процессоров и ЗУ должна
вестись регистрация данных о всех сеансах передачи защищаемой
информации;
• должны быть предусмотрены возможности аварийного уничтожения
информации, находящейся в аппаратуре связи.
4. В центральном вычислителе:
Часть 2. Информационная безопасность автоматизированных систем
защищаемая информация в ОЗУ может находиться только во время
сеансов решения соответствующих задач, в ВЗУ - минимальное вре-
мя, определяемое технологией решения соответствующей приклад-
ной задачи в автоматизированной системе обработки данных;
устройства отображения и фиксации информации должны распола-
гаться так, чтобы исключить возможность просмотра отображаемой
(выдаваемой) информации со стороны;
информация, имеющая ограничительный гриф, должна выдаваться
(отображаться) совместно с этим грифом;
при обработке защищаемой информации должно осуществляться ус-
тановление подлинности всех участвующих в обработке устройств
и пользователей и ведение протоколов их работы;
всякое обращение к защищаемой информации должно проверяться
на санкционированность;
при обмене защищаемой информации, осуществляемом с использо-
ванием линий связи, должна осуществляться проверка адреса кор-
респондента;
должны быть предусмотрены возможности аварийного уничтожения
всей информации, находящейся в центральном вычислителе, и пода-
чи команды на аварийное уничтожение информации в сопряженных
устройствах.
5. В ВЗУ:
сменные носители информации должны находиться на устройствах
управления в течение минимального времени, определяемого техно-
логией автоматизированной обработки информации;
устройства управления ВЗУ, на которых установлены носители с за-
щищаемой информацией, должны иметь замки, предупреждающие
несанкционированное изъятие или замену носителя;
должны быть предусмотрены возможности автономного аварийного
уничтожения информации на носителях, находящихся на ВЗУ.
6. В хранилище носителей:
все носители, содержащие защищаемую информацию, должны иметь
четкую и однозначную маркировку, которая, однако, не должна рас-
крывать содержания записанной на них информации;
носители, содержащие защищаемую информацию, должны хранить-
ся таким образом, чтобы исключались возможности несанкциониро-
ванного доступа к ним;
м
Основы информационной безопасности
• при выдаче и приемке носителей должна осуществляться проверка
личности получающего (сдающего) и его санкции на получение (сда-
чу) этих носителей;
• должны быть предусмотрены возможности аварийного уничтожения
информации на носителях, находящихся в хранилищах.
7. В устройствах подготовки данных:
• защищаемая информация должна находиться только в течение вре-
мени ее подготовки;
• устройства подготовки должны быть размещены так, чтобы исклю-
чались возможности просмотра обрабатываемой информации со
стороны;
• а специальных регистрационных журналах должны фиксироваться
время обработки информации, исполнители, идентификаторы ис-
пользованных носителей, и возможно, другие необходимые данные;
• распределение работ между операторами должно быть таким, чтобы
минимизировать осведомленность их о содержании обрабатываемой
информации;
• должны быть предусмотрены возможности аварийного уничтожения
информации, находящейся в подразделениях подготовки данных.
8. Требования к защите информации, обусловливаемые территори-
альной распределенностью автоматизированной системы обработки дан-
ных, заключаются в следующем:
• в компактных автоматизированных системах обработки данных
(размещенных в одном помещении) достаточно организовать и обес-
печить требуемый уровень защиты в пределах того помещения, в ко-
тором размещены элементы автоматизированной системы обработки
данных;
• в слабораспределенных автоматизированных системах обработки
данных (размещенных в нескольких помещениях, но на одной и той
же территории) дополнительно к предыдущему должна быть обеспе-
чена требуемая защита информации в линиях связи, с помощью ко-
торых сопрягаются элементы автоматизированной системы обработ-
ки данных, расположенные в различных помещениях, для чего долж-
ны быть или постоянный контроль за этими линиями связи, или
исключена передача по ним защищаемой информации в явном виде;
• в сильнораспределенных автоматизированных системах обработки
данных (размещенных на нескольких территориях) дополнительно
Часть 2. Информационная безопасность автоматизированных систем
к предыдущему должна быть обеспечена требуемая защита инфор-
мации в линиях связи большой протяженности, что может быть дос-
тигнуто предупреждением передачи по ним защищаемой информа-
ции в открытом виде.
Требования, обусловливаемые видом защищаемой информации, мо-
гут быть сформулированы в таком виде:
1. К защите документальной информации предъявляются следующие
требования:
• должна обеспечиваться зашита как оригиналов документов, так
и сведений о них, накапливаемых и обрабатываемых в автоматизиро-
ванной системе обработки данных;
• применяемые средства и методы защиты должны выбираться с уче-
том необходимости обеспечения доступа пользователям различных
категорий:
персонала делопроизводства и библиотеки оригиналов;
специалистов подразделения первичной обработки документов;
специалистов функциональных подразделений автоматизируемых
органов.
2. При обработке фактографической быстроменяющейся информации
должны учитываться следующие требования:
• применяемые средства и методы защиты не должны существенно
влиять на оперативность обрабатываемой информации;
• применяемые средства и методы защиты должны выбираться с уче-
том обеспечения доступа к защищаемой информации строго ограни-
ченного круга лиц.
3. К защите фактографической исходной информации предъявляются
следующие требования:
• каждому пользователю должны быть обеспечены возможности фор-
мирования требований к защите создаваемых им массивов данных
в пределах предусмотренных в автоматизированной системе обра-
ботки данных возможностей защиты;
• в системе защиты должны быть предусмотрены средства, выбирае-
мые и используемые пользователями для защиты своих массивов по
своему усмотрению.
4. К защите фактографической регламентной информации предъяв-
ляются следующие требования:
Основы информационной безопасности
• применяемые средства и методы защиты должны быть рассчитаны
на длительную и надежную защиту информации;
• должен обеспечиваться доступ (в пределах полномочий) широкого
круга пользователей;
• повышенное значение приобретают процедуры идентификации, опо-
знавания, проверки полномочий, регистрации обращений и контроля
выдачи.
Требования, обусловливаемые технологическими схемами автомати-
зированной обработки информации, сводятся к тому, что в активном со-
стоянии автоматизированной системы обработки данных должна обеспе-
чиваться защита на всех технологических участках автоматизированной
обработки информации и во всех режимах.
С точки зрения организации вычислительного процесса в автомати-
зированной системе обработки данных требуемая защита должна обеспе-
чиваться при любом уровне автоматизации обработки информации, при
всех способах взаимодействия пользователей со средствами автоматиза-
ции и при всех режимах работы комплексов средств автоматизации.
Специфические требования к защите для различных уровней автома-
тизации обработки информации состоят в следующем:
• при автономном решении отдельных задач или их комплексов ос-
новными макропроцессами автоматизированной обработки, в ходе
которых должен обеспечиваться необходимый уровень защиты, яв-
ляются:
сбор, подготовка и ввод исходных данных, необходимых для ре-
шения задач;
машинное решение задач в автономном режиме;
выдача результатов решения;
• в случае полусистемной обработки дополнительно к предыдущему
на участках комплексной автоматизации должна быть обеспечена
защита в ходе осуществления следующих макропроцессов:
автоматизированного сбора информации от датчиков и источни-
ков информации;
диалогового режима работы пользователей ЭВМ;
• в случае системной обработки дополнительно к предыдущему долж-
на быть обеспечена защита в ходе таких макропроцессов:
приема потока запросов и входной информации;
формирования пакетов и очередей запросов;
Mi
Часть 2. Информационная безопасность автоматизированных систем
диспетчеризации в ходе выполнения запросов;
регулирования входного потока информации.
В зависимости от способа взаимодействия пользователя с комплек-
сом средств автоматизации предъявляются следующие специфические
требования:
• при автоматизированном вводе информации должны быть обеспече-
ны условия, исключающие несанкционированное попадание инфор-
мации одного пользователя (абонента) в массив другого, причем
должны быть обеспечены возможности фиксирования и докумен-
тального закрепления момента передачи информации пользователя
банку данных автоматизированной системы обработки данных и со-
держания этой информации;
• при неавтоматизированном вводе должна быть обеспечена защита на
неавтоматизированных коммуникациях «пользователь - автоматизи-
рованная система обработки данных», на участках подготовки дан-
ных и при вводе с местных устройствах группового ввода-вывода;
• при пакетном выполнении запросов пользователей должно исклю-
чаться размещение в одном и том же пакете запросов на обработку
информации различных ограничительных грифов;
• при обработке запросов пользователей в реальном масштабе времени
данные, поступившие от пользователей, и данные, подготовленные
для выдачи пользователям, в ЗУ автоматизированной системы обра-
ботки данных должны группироваться с ограничительным грифом,
при этом в каждой группе должен быть обеспечен уровень защиты,
соответствующий ограничительному грифу данной группы.
В зависимости от режимов функционирования комплексов средств
автоматизации предъявляются следующие специфические требования:
• в однопрограммном режиме работы в процессе выполнения про-
граммы должны предупреждаться:
несанкционированное обращение к программам;
несанкционированный ввод данных для решаемой задачи;
несанкционированное прерывание выполняемой программы;
несанкционированная выдача результатов решения;
• в мультипрограммном режиме сформулированные раньше требова-
ния относятся к каждой из выполняемых программ и дополнительно
должно быть исключено несанкционированное использование дан-
ных одной программы другой программой;
ма
Основы информационной безопасности
• в мультипроцессорном режиме сформулированные выше требования
должны обеспечиваться одновременно во всех участвующих в реше-
нии задачи процессорах, кроме того, должно быть исключено не-
санкционированное вклинивание в вычислительный процесс при
распараллеливании и при диспетчеризации мультипроцессорного
выполнения программ.
Требования, обусловливаемые этапом жизненного цикла автоматизи-
рованной системы обработки данных, формулируются так:
• на этапе создания автоматизированной системы обработки данных
должно быть обеспечено соответствие возможностей защиты требо-
ваниям к защите информации, сформулированным в задании на про-
ектирование, кроме того, должно быть исключено несанкциониро-
ванное включение элементов (блоков) в компоненты автоматизиро-
ванной системы обработки данных (особенно системы защиты);
• на этапе функционирования автоматизированной системы обработки
данных в пассивном ее состоянии должна быть обеспечена надежная
защита хранящейся информации и исключены возможности несанк-
ционированных изменений компонентов системы;
• на этапе функционирования автоматизированной системы обработки
данных в активном ее состоянии дополнительно к сформулирован-
ным раньше требованиям должна быть обеспечена надежная зашита
информации во всех режимах автоматизированной ее обработки.
Так могут быть представлены общие рекомендации по формирова-
нию требований к защите информации. Нетрудно видеть, что приведен-
ные раньше требования хотя и содержат полезную информацию, но не-
достаточны для выбора методов и средств защиты информации в кон-
кретной автоматизированной системе обработки данных.
Последовательность решения задачи должна быть следующей.
1. Разработка методов оценки параметров защищаемой информации.
2. Формирование перечня и классификация факторов, влияющих на
требуемый уровень защиты информации.
3. Структуризация возможных значений факторов.
4. Структуризация поля потенциально возможных вариантов сочетаний
значений факторов (вариантов условий защиты).
5. Оптимальное деление поля возможных вариантов на типовые классы.
6. Структурированное описание требований к защите в пределах выде-
ленных классов.
194
Часть 2. Информационная безопасность авзомапнированных систем
Безопасность информации - это состояние
защищенности информации, обрабатываемой
средствами вычислительной техники
или автоматизированной системы,
от внутренних и внешних угроз.
Руководящие документы ФСТЭК
8. Анализ существующих методик определения
требований к защите информации
Проблема определения требований к защите информации в автомати-
зированных системах ее обработки возникла практически одновременно
с самой проблемой защиты, т. е. когда средства электронно-вычисли-
тельной техники (ЭВТ) стали применяться для обработки конфиденци-
альной информации. При этом оказалось, что для ее решения нет сколь-
ко-нибудь адекватного аналога, поскольку в условиях бумажной инфор-
матики вопросы защиты информации решались преимущественно орга-
низационными средствами. Система защиты строилась таким образом,
чтобы возможности несанкционированного получения защищаемой ин-
формации практически были исключены. В условиях же автоматизиро-
ванной обработки существует большое количество таких каналов не-
санкционированного получения информации, которые не могут быть пе-
рекрыты без применения специфических технических и программно-
аппаратных средств. Соответственно возникла необходимость определе-
ния требований к системам защиты, содержащим указанные средства.
Задача оказалась достаточно сложной, в силу чего регулярная методика
ее решения до настоящего времени не разработана.
В сложившейся ситуации наиболее подходящим оказался подход, ос-
нованный на выделении некоторого количества типовых систем зашиты
с четким обозначением тех механизмов защиты, которые должна содер-
жать каждая из типовых систем, и разработке рекомендаций по их ис-
пользованию.
Для оценки реального состояния безопасности информационной сис-
темы применяются различные критерии. Анализ отечественного и зару-
бежного опыта показал определенную общность подхода к определению
состояния безопасности в разных странах. Ее сущность состоит в сле-
дующем. Для предоставления пользователю возможности оценки вводит-
ся некоторая система показателей и задается иерархия классов безопас-
ности. Каждому классу соответствует определенная совокупность обяза-
тельных функций. Степень реализации выбранных критериев показывает
195
Основы информационной безопасности
текущее состояние безопасности. Последующие действия сводятся к
сравнению реальных угроз с реальным состоянием безопасности.
Если реальное состояние перекрывает угрозы в полной мере, система
безопасности считается надежной и не требует дополнительных мер. Та-
кую систему можно отнести к классу систем с полным перекрытием уг-
роз и каналов утечки информации. В противном случае система безопас-
ности нуждается в дополнительных мерах защитьг.
Показатель защищенности ИС - характеристика средств системы,
влияющая на защищенность и описываемая определенной группой тре-
бований, варьируемых по уровню и глубине в зависимости от класса за-
щищенности.
Рассмотрим некоторые подходы к оценке безопасности ИС.
8.1. Требования к безопасности информационных
систем в США
Вопросами стандартизации и разработки нормативных требований
на защиту информации в США занимается Национальный центр компь-
ютерной безопасности Министерства обороны США (NCSC - National
Computer Security Center).
Этот центр в 1983 г. издал «Критерии оценки безопасности компью-
терных систем» (Trasted Computer Systems Evaluation Criteria - TCSEC).
Этот документ часто называют «Оранжевой книгой». Данная разработка
широко использовалась вплоть до принятия международного стандарта
по безопасности информационных технологий ISO 15408. «Оранжевая
книга» была утверждена в 1985 г. в качестве правительственного стан-
дарта. Она содержит основные требования и специфицирует классы для
оценки уровня безопасности компьютерных систем. Используя эти кри-
терии, NCSC тестирует эффективность механизмов контроля безопасно-
сти. Следует подчеркнуть, что критерии делают безопасность величиной,
допускающей ее измерение, и позволяют оценить уровень безопасности
той или иной системы. Подобная возможность эмпирического анализа
степени безопасности систем привела к международному признанию фе-
дерального стандарта США. NCSC считает безопасной систему, которая
«посредством специальных механизмов защитьг контролирует доступ
к информации таким образом, что только имеющие соответствующие
полномочия лица или процессы, выполняющиеся от их имени, могут по-
лучить доступ на чтение, запись, создание или удаление информации».
Стандарт США «Критерии оценки гарантированно защищенных
вычислительных систем в интересах Министерства обороны США».
196
Часть 2. Информационная безопасность автоматизированных систем
Наиболее известным документом, четко определяющим критерии,
по которым должна оцениваться защищенность вычислительных систем,
и те механизмы защиты, которые должны использоваться в системах об-
работки секретной конфиденциальной - в более общей постановке ин-
формации, является так называемая «Оранжевая книга», представляющая
собой стандарт США «Критерии оценки гарантированно защищенных
вычислительных систем в интересах Министерства обороны США»
(Trusted Computer Systems Evaluation Criteria - TCSEC), принятый в 1983
г. Его принятию предшествовали 15-летние исследования, проводившие-
ся специально созданной рабочей группой и Национальным бюро стан-
дартов США.
Стандартом предусмотрено 6 фундаментальных требований, которым
должны удовлетворять те вычислительные системы, которые использу-
ются для обработки конфиденциальной информации. Требования разде-
лены на три группы: стратегия, подотчетность, гарантии - в каждой
группе по два требования следующего содержания:
1. Стратегия
Требование 1 - стратегия обеспечения безопасности: необходимо иметь
явную и хорошо определенную стратегию обеспечения безопасности.
Требование 2 - маркировка: управляющие доступом метки должны
быть связаны с объектами.
2. Подотчетность
Требование 3 - идентификация: индивидуальные субъекты должны
идентифицироваться.
Требование 4 - подотчетность: контрольная информация должна
храниться отдельно и защищаться так, чтобы со стороны ответственной
за это группы имелась возможность отслеживать действия, влияющие
на безопасность.
3. Гарантии
Требование 5 - гарантии: вычислительная система в своем составе
должна иметь аппаратные/программные механизмы, допускающие неза-
висимую оценку на предмет достаточного уровня гарантий того, что сис-
тема обеспечивает выполнение изложенных выше требований с 1 -го по 4-е.
Требование 6 - постоянная защита: гарантированно защищенные
механизмы, реализующие перечисленные требования, должны быть по-
стоянно защищены от «взламывания» и/или несанкционированного вне-
сения изменений.
197
Основы информационной безопасности
В зависимости от конкретных значений, которым отвечают автомати-
зированные системы, они разделены на 4 группы - D, С, В, А, которые
названы так:
• D - минимальная защита;
• С - индивидуальная защита;
• В - мандатная защита;
• А - верифицированная защита.
Группы систем делятся на классы, причем все системы, относимые
к группе D, образуют один класс D, к группе С - два класса С1 и С2,
к группе В - три класса Bl, В2 и ВЗ, к группе А - один класс А1 с выде-
лением части систем вне класса.
Ниже рассмотрим названия и краткую характеристику перечислен-
ных классов.
• D - минимальная защита - системы, подвергнутые оцениванию,
но не отвечающие требованиям более высоких классов.
• С1 - защита, основанная на индивидуальных мерах, - системы, обес-
печивающие разделение пользователей и данных. Они содержат
внушающие доверие средства, способные реализовать ограничения
по доступу, накладываемые на индивидуальной основе, т. е. позво-
ляющие пользователям иметь надежную защиту их информации
и не дающие другим пользователям считывать или разрушать их
данные. Допускается кооперирование пользователей по уровням сек-
ретности.
• С2 - защита, основанная на управляемом доступе, - системы, осуще-
ствляющие не только разделение пользователей, как в системах С1,
но и разделение их по осуществляемым действиям.
• В1 - защита, основанная на присваивании имен отдельным средствам
безопасности, - системы, располагающие всеми возможностями сис-
тем класса С, и дополнительно должны быть формальные модели
механизмов обеспечения безопасности, присваивания имен защи-
щаемым данным, включая и выдаваемые за пределы системы, и сред-
ства мандатного управления доступом ко всем поименованным субъ-
ектам и объектам.
• В2 - структурированная защита - системы, построенные на основе
ясно определенной и формально задокументированной модели,
с мандатным управлением доступом ко всем субъектам и объектам,
располагающие усиленными средствами тестирования и средствами
управления со стороны администратора системы.
198
Часть 2. Информационная безопасность автоматизированных систем
• ВЗ - домены безопасности - системы, монитор обращений которых
контролирует все запросы на доступ субъектов к объектам, не допус-
кающие несанкционированных изменений. Объем монитора должен
быть небольшим вместе с тем, чтобы его состояние и работу можно
было сравнительно легко контролировать и тестировать. Кроме того,
должны быть предусмотрены сигнализация о всех попытках несанк-
ционированных действий и восстановление работоспособности сис-
темы.
• А1 - верификационный проект - системы, функционально эквива-
лентные системам класса ВЗ, но верификация которых осуществлена
строго формальными методами. Управление системой осуществляет-
ся по строго определенным процедурам. Обязательно введение ад-
министратора безопасности.
Эти основные требования конкретизируются в показателях защи-
щенности, которые приведены в табл. 2.13.
Таблица 2.13. Показатели защищенности ИС на основе технологии IBM
Показатель защищенности А1 ВЗ В2 В1 С2 Наименование С1 подгруппы показателей
Избирательная политика безопасности + +
Полномочная политика безопасности +
Повторное использование объектов
Изоляция модулей
Маркировка документов
Защита ввода и вывода на отчуждаемый физический носитель информации Политика безопасности
Сопоставление пользователя с устройством
Избирательный контроль доступа
Мандатный контроль доступа
Указатели метки
Указатели целостности
Основы информационной безопасности
Окончание табл. 2.13
Показатель защищенности А1
Идентификация и аутентифи-
кация
Регистрация
Взаимодействие пользователя
с комплексом средств защиты
(КСЗ)
Гарантии проектирования
Гарантии архитектуры
Надежное восстановление
Целостность КСЗ
Контроль модификации
Контроль дистрибуции
Тестирование
Контроль полномочий
Контроль безопасности
Руководство пользователя
по безопасности
Инструкция по КСЗ
Тестовая документация
Конструкторская докумен-
тация
Гарантии
Документация
Примечание. Ниже дано пояснение применяемых обозначений.
Не соответствует требованиям, предъявляемым к этому классу
Нет дополнительных требований к этому классу
Нет требований к этому классу
+ Соответствует или превышает требования к этому классу
Разработаны также основные требования к проектной документации.
В части стандартизации аппаратных средств информационных сис-
тем и телекоммуникационных сетей в СТТТА разработаны правила стан-
дарта Transient Electromagnetic Pulse Emanations Standart (TEMPEST).
Этот стандарт предусматривает применение специальных мер защи-
ты аппаратуры от паразитных излучений электромагнитной энергии, пе-
рехват которой может привести к овладению охраняемыми сведениями.
Часть 2. Информационная безопасность автоматизированных систем
Стандарт TEMPEST обеспечивает радиус контролируемой зоны пе-
рехвата порядка 1 м. Это достигается специальными схемотехническими,
конструктивными и программно-аппаратными решениями, в том числе:
• применением специальной низкопотребляющей малошумящей эле-
ментной базы;
• специальным конструктивным исполнением плат и разводкой сиг-
нальных и земляных электрических цепей;
• использованием экранов и RC-фильтров, ограничивающих спектры
сигналов в цепях интерфейсных соединений;
• применением специальных мер, обеспечивающих защиту от НСД
(съемный жесткий диск, магнитные парольные карты, специальные
замковые устройства, программно-аппаратные средства защиты ин-
формации и шифрования).
Снижение мощности побочных электромагнитных излучений и наво-
док (ПЭМИН) монитора достигается рядом конструктивно-технологи-
ческих решений, примененных в ПЭВМ:
• видеомонитор с задней стороны полностью заключен в металличе-
ский экран;
• плата видеоусилителей видеомонитора заключена в дополнительный
экран;
• на соединительные кабели видеомонитора установлены ферритовые
фильтры;
• сигнальные цепи выполнены экранированным кабелем;
• сигналы на интерфейсные разъемы системного блока подаются через
LC-фильтры, ограничивающие спектр сигналов сверху;
• корпус системного блока металлический с токопроводящим покры-
тием, что обусловливает достаточную локализацию ПЭМИН.
Таблица 2.14. Основные требования к проектной документации
_______________________________________________(приводятся частично)
Описание техническая характеристика защиты Класс защищенности
С1 С2 В1 В2 вз А1
Концепция защиты + + + + + +
Каким образом концепция защиты реали- зуется в ТСВ + + + + + +
Модульный принцип ТСВ, если принцип модульный + + +
201
Основы информационной безопасности
Продолжение табл. 2.14
Описание техническая характеристика защиты Класс защищенности
С1 С2 В1 В2 ВЗ А1
Устройства сопряжения между модулями ТСВ, если принцип модульный
Какова защита самого ТСВ + + +
Предписание оператор концепции защиты системы + + + + + +
Модель концепции защиты системы + + + +
Аргументация достаточности модели концепции защиты в целях усиления этой концепции + + + +
Идентифицирование механизмов защиты ТСВ + + + +
Аргументация соответствия механизмов ТСВ модели концепции защиты системы + + + +
Модульный принцип ТСВ + + +
Устройства сопряжения между модулями ТСВ + + +
Формальная внешняя модель концепции защиты + + +
Аргументация достаточности модели концепции защиты для ее усиления + + +
Схематическое отображение технических требований высшего уровня, изложенных в описательной форме, в устройстве со- пряжения ТСВ + + +
Каким образом ТСВ обеспечивает выполнение концепции обращения к монитору управляющей программы + + +
Почему ТСВ является препятствием для вмешательства самовольного изменения процессов в систему + + +
Почему ТСВ нельзя обойти + + +
Почему ТСВ обеспечивает правильное выполнение задач + + +
Какова структура ТСВ, которая способст- вует контрольному испытанию системы защиты + + +
202
Часть 2. Информационная безопасность автоматизированных систем
Окончание табл. 2.14
Описание техническая характеристика защиты Класс защищенности
С1 С2 В1 В2 вз А1
Какова структура ТСВ, которая способст- вует усилению минимальных преиму- ществ + + +
Результаты анализа защищенных каналов + + +
Альтернативные варианты + + +
Результаты проверки, которые можно использовать при эксплуатации известных защитных каналов ЗУ + + +
ТСВ (Trusted computer base) - доверенная вычислительная среда
8.2. Требования к безопасности информационных
систем в России
Аналогичный подход реализован и в руководящем документе Госу-
дарственной технической комиссией при Президенте РФ «Классифика-
ция автоматизированных систем и требований по защите информации»,
выпущенном в 1992 г. Требования всех приведенных ниже документов
обязательны для исполнения только для тех государственных либо ком-
мерческих организаций, которые обрабатывают информацию, содержа-
щую государственную тайну. Для остальных коммерческих структур
документы носят рекомендательный характер. В данном документе вы-
делено 9 классов защищенности автоматизированных систем от несанк-
ционированного доступа к информации, а для каждого класса определен
минимальный состав необходимых механизмов защиты и требования
к содержанию защитных функций каждого из механизмов в каждом
из классов систем.
Классы систем разделены на три группы, причем основным критери-
ем деления на группы приняты специфические особенности обработки
информации, а именно:
третья группа - системы, в которых работает один пользователь, до-
пущенный ко всей обрабатываемой информации, размещенной на носи-
телях одного уровня конфиденциальности; к группе отнесены два класса,
обозначенные ЗБ и ЗА;
вторая группа - системы, в которых работает несколько пользовате-
лей, которые имеют одинаковые права доступа ко всей информации, об-
203
Основы информационной безопасности
рабатываемой и/или хранимой на носителях различного уровня конфи-
денциальности; к группе отнесены два класса, обозначенные 2Б и 2А;
первая группа - многопользовательские системы, в которых одно-
временно обрабатывается и/или хранится информация разных уровней
конфиденциальности, причем различные пользователи имеют разные
права на доступ к информации; к группе отнесено 5 классов: 1Д, 1Г, 1В,
1Б и 1А.
Требования к защите растут от систем класса ЗБ к классу 1 А.
Все механизмы защиты разделены на 4 подсистемы следующего на-
значения:
• управления доступом;
• регистрации и учета;
• криптографического закрытия;
• обеспечения целостности.
Состав перечисленных подсистем приведен в табл. 2.15.
Таблица 2.15. Классы подсистем защищенности
Подсистема и ее характеристики Классы систем
ЗБ ЗА 2Б 24 1Д 1Б IB 1Б 1А
1. Подсистема управления доступом + + + + + + + + +
1.1. Идентификация, провер- ка подлинности и контроль доступа субъектов в систему: к терминалам, ЭВМ, каналам связи, внешним устройствам ЭВМ к томам, каталогам, файлам, записям, полям записей + + + + + + + + + +
1.2. Управление потоками информации - - + - + + + +
2. Подсистема регистрации и учета + + + + + + + + +
2.1. Регистрация и учет: входа субъектов доступа в системы узла сети и выхода их из нее выдачи печатных графиче- ских выходных документов + + + + + +
од.
Часть 2. Информационная безопасность автоматизированных систем
Продолжение табл. 2.15
Подсистема и ее характеристики Классы систем
ЗБ ЗА 2Б 24 1Д 1Г IB 1Б 1А
запуска-завершения про- грамм процессов заданий, задач доступа программ субъектов доступа к защищаемым фай- лам, включая их создание и удаление, передачу по лини- ям и каналам связи; доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей; изменения полномочий субъ- ектов доступа создаваемых защищаемых объектов доступа - + + + + + + + + + + + + + + + + + + + + + + +
2.2. Учет носителей инфор- мации + + + + + + + + +
2.3. Очистка, обнуление, обезличивание освобождае- мых областей оперативной памяти ЭВМ и внешних на- копителей + + + + + +
3. Криптографическая под- система + + + + + + + + +
3.1. Шифрование конфиден- циальной информации + + + + + + + + +
3.2. Шифрование информа- ции, принадлежащей различ- ным субъектам доступа, группам субъектов на раз- личных ключах +
3.3. Использование аттесто- ванных сертифицированных криптографических средств - - - + - - - + +
W9
Основы информационной безопасности
Окончание табл. 2.15
Подсистема и ее характеристики Классы систем
ЗБ ЗА 2Б 2А 1Д 1Г 1В 1Б 1А
4. Подсистема обеспечения целостности + + + + + + + + +
4.1. Обеспечение целостно- сти программных средств и обрабатываемой информации + + + + + + + + +
4.2. Физическая охрана средств вычислительной техники и носителей информации + + + + + + + + +
4.3. Наличие администратора службы защиты информации в автоматизированной систе- ме обработки данных + + + +
4.4. Периодическое тестиро- вание средств защиты ин- формации несанкциониро- ванного доступа + + + + + + + + +
4.5. Наличие средств восста- новления средств защиты информации несанкциониро- ванного доступа + + + + + + + + +
4.6. Использование сертифи- цированных средств защиты - + - + - - + + +
Содержание средств для каждой группы систем приведено в доку-
менте. Приведенная в руководящем документе Гостехкомиссии методика
распространяется на защиту от несанкционированного доступа к инфор-
мации, находящейся непосредственно в ЗУ ЭВМ и на сменных машино-
читаемых носителях. Значительно раньше, в 1978 г., Гостехкомиссией
были выпущены руководящие документы, определяющие требования к
защите информации в автоматизированных системах от утечки по побоч-
ным электромагнитным излучениям и наводкам. При разработке назван-
ных требований учитывались следующие факторы:
1. Доля грифованной информации в общем объеме обрабатываемой
информации.
2. Интенсивность обработки грифованной информации, выражаемая
относительной долей времени ее обработки в течение суток.
3. Условия расположения аппаратуры автоматизированной системы.
Часть 2. Информационная безопасность автоматизированных систем
Наличие рассмотренных методик и закрепление их в официальных
документах создает достаточно надежную базу для защиты информации
на регулярной основе. Однако нетрудно видеть, что с точки зрения со-
временной постановки задачи защиты информации имеющиеся методики
являются недостаточными по ряду причин, а именно:
1) методики ориентированы на защиту информации только в средствах
ЭВТ, в то время как имеет место устойчивая тенденция органическо-
го сращивания автоматизированных и традиционных технологий об-
работки информации;
2) учитываются далеко не все факторы, оказывающие существенное
влияние на уязвимость информации, а поэтому и подлежащие учету
при определении требований к защите;
3) в научном плане они обоснованы недостаточно за исключением тре-
бований к защите информации от утечки по техническим каналам.
8.3. Классы защищенности средств вычислительной
техники от несанкционированного доступа
В ч. 2 руководящих документах Гостехкомиссии устанавливается
классификация средств вычислительной техники (СВТ) по уровню за-
щищенности от несанкционированного доступа к информации на базе
перечня показателей защищенности и совокупности описывающих их
требований. Под средствами вычислительной техники понимаются сово-
купность программных и технических элементов систем обработки дан-
ных, способных функционировать самостоятельно или в составе других
систем.
Показатели защищенности содержат требования по защите СВТ от
несанкционированного доступа к информации и применяются к обще-
системным программным средствам и операционным системам с учетом
архитектуры компьютера. Классы защищенности СВТ описываются со-
вокупностью требований. Совокупность всех средств защиты составляет
комплекс средств защиты.
Изложенные ниже требования к показателям защищенности предъяв-
ляются к общесистемным программным средствам и операционным сис-
темам.
В зависимости от реализованных моделей защиты и надежности их
проверки классы подразделяются на 4 группы. Первая группа включает
только один седьмой класс - минимальная защищенность.
Вторая группа характеризуется избирательной защитой и включает
шестой и пятый классы. Избирательная защита предусматривает кон-
207
Основы информационной безопасности
троль доступа поименованных субъектов к поименованным объектам
системы. При этом для каждой пары «субъект - объект» должны быть
определены разрешенные типы доступа. Контроль доступа применяется
к каждому объекту и к каждому субъекту - индивиду или группе равно-
правных индивидов.
Третья группа характеризуется полномочной защитой и включает
четвертый, третий и второй классы. Полномочная защита предусматрива-
ет присвоение каждому субъекту и объекту системы классификационных
меток, указывающих место субъекта объекта в соответствующей иерар-
хии. Классификационные метки на объекты устанавливаются пользова-
телем системы или специально выделенным субъектом. Обязательным
требованием для классов, входящих в эту группу, является реализация
диспетчера доступа в иностранной литературе - reference monitor, мони-
тор ссылок. Контроль доступа должен осуществляться применительно
ко всем объектам при явном и скрытом доступе со стороны любого
из субъектов. Решение о санкционированности запроса на доступ должно
приниматься только при одновременном разрешении его и избиратель-
ными и полномочными правилами разграничения доступа.
Четвертая группа характеризуется верифицированной защитой и со-
держит только первый класс.
Для присвоения класса защищенности система должна иметь:
• руководство администратора по системе;
• руководство пользователя;
• тестовую и конструкторскую документацию.
Перечень показателей по классам защищенности СВТ приведен
в табл. 2.16.
Таблица 2.1 б. Показатели защищенности СВТ от НСД
Показатель защищенности б 5 4 3 2 /
Дискреционный принцип контроля доступа + + + = + =
Мандатный принцип контроля доступа - - + = = =
Очистка памяти - + + + = =
Изоляция модулей - - + = + =
Маркировка документов - - + = = =
Защита ввода и вывода на отчуждаемый физический носитель информации - - + = = =
Сопоставление пользователя с устройством - - + = = =
Идентификация и аутентификация + = + = = =
ш
Часть 2. Информационная безопасность автоматизированных систем
Окончание табл. 2.16
Показатель защищенности 6 5 4 3 2 7
Гарантии проектирования - + + + + +
Регистрация - + + + - =
Взаимодействие пользователя с комплек- сом средств защиты (КСЗ) - - - + = =
Надежное восстановление - - - + = =
Целостность КСЗ - + + + = =
Контроль модификации - - - - + =
Контроль дистрибуции - - - - + =
Гарантии архитектуры - - - - - +
Тестирование + + + + + =
Руководство пользователя + = = = = =
Руководство по КСЗ + + = + + =
Текстовая документация + + + + + =
Конструкция проектная документация + + + + + +
Примечание. «-» - нет требований к данному классу; «+» - новые или
дополнительные требования; «=» - требования совпадают с требования-
ми к СВТ предыдущего класса.
В данном документе к каждому требованию приведены подробные
развернутые комментарии.
В качестве примера рассмотрим требования к подсистеме обеспече-
ния целостности класса 2А.
• Должна быть обеспечена целостность программных средств системы
защиты информации (СЗИ) от несанкционированного доступа НСД,
целостность обрабатываемой информации, а также неизменность
программной среды. При этом:
целесообразность СЗИ НСД проверяется при загрузке системы по
наличию имен идентификаторов компонентов СЗИ;
целостность программной среды обеспечивается отсутствием
в системе средств разработки и отладки программ;
• Должна осуществляться физическая охрана средств устройств и но-
сителей информации, предусматривающая постоянное наличие охра-
ны территории и здания, где размещается система, с помощью тех-
нических средств охраны и специального персонала, использование
строгого пропускного режима, специальное оборудование помеще-
ний.
Основы информационной безопасности
• Должен быть предусмотрен администратор служба защиты инфор-
мации, ответственный за ведение, нормальное функционирование
и контроль работы СЗИ НСД.
• Должно проводиться периодическое тестирование функций СЗИ
НСД при изменении программной среды и персонала системы с по-
мощью тест-программ, имитирующих попытки НСД.
• Должны быть в наличии средства восстановления СЗИ НСД, преду-
сматривающие ведение двух копий программных средств СЗИ НСД
и их периодическое обновление и контроль работоспособности.
• Должны использоваться сертифицированные средства защиты.
Тщательный анализ таких требований позволит оценить реальную
безопасность ИС с отнесением ее к определенному классу защищенности.
Методика оценки безопасности и США и России практически ориен-
тированы на оценку безопасности на качественном уровне.
Определенный интерес для читателей представит опыт французских
исследователей по оценке безопасности ИС с использованием некоторых
количественных нормативов, что для практического применения более
конкретно и обозримо.
Класс защищенности ИС - определенная совокупность требований
по защите средств ИС от НСД к информации.
8.4. Оценка состояния безопасности ИС Франции
Были опубликованы результаты нескольких опросов оценки уровня
безопасности предприятий. Опросная анкета содержала 27 характерных
факторов безопасности ИС (табл. 2.17) и была распространена на 172
предприятиях: 73 в секторе I - банки, страховые общества, финансовые
органы; 54 в секторе II - промышленность, сельское хозяйство, энергети-
ка и 45 в секторе III - транспорт, торговля, сфера услуг и др. [34].
Таблица 2.17. Факторы безопасности ИС Франции
Код Содержание Сфера безопасности
101 Общая организация Общая организация безопасности
102 Постоянные виды контроля
103 Регламентация и аудит
201 Социально-экономические факторы Социально-экономи- ческая безопасность
210
Часть 2. Информационная безопасность автоматизированных систем
Окончание табл. 2.17
Код Содержание Сфера безопасности
301 Внешняя окружающая среда Физическая безопасность
302 Контроль доступа
303 Загрязнение
304 Правила безопасности
305 Противопожарная безопасность
306 Зашита от подтопления
307 Безопасность функционирования инфор- мационной техники
308 Средства восстановления и резервирования Организационная безопасность
309 Протоколы обмена
310 Подготовка персонала
311 Планирование безопасности
401 Безопасность оборудования и баз данных Логическая, телекомму- никационная и эксплуа- тационная безопасность
402 Безопасность телекоммуникаций
403 Защита данных
501 Архивация/дезархивация Функциональная безопасность
502 Получение и передача данных
503 Охрана
504 Надежность функционирования
505 Обеспечение
601 Процедуры проверки Управление безопасностью
602 Методики контроля
603 Взаимосвязь методов контроля
604 Программно-математическая безопасность
Общие факторы связаны с организацией предприятия 101, 102, 103,
201. Социально-экономические факторы 201 остаются довольно благо-
приятными. Различия в показателях других факторов значительные. Наи-
более слабой остается общая организация безопасности 101 - структура
ответственных участков, правовая и страховая защита. Самые низкие по-
казатели в секторе I: сложность финансовых механизмов значительно за-
трудняет реализацию мер обеспечения безопасности. Постоянные виды
контроля 102 имеют высокие показатели. Регламентация и аудит 103
имеют средние показатели.
211
Основы информационной безопасности
Физическая безопасность 301, 302, 303, 304, 305, 306, 307. Традици-
онно противопожарная безопасность 304 и 305 находится на довольно
высоком уровне, в то время как защита от подтопления 306 недостаточна.
Отмечается слабость безопасности внешней зоны и зданий 301, хотя они
представляют собой первый рубеж безопасности предприятия. Контроль
доступа, пропускной режим также недостаточен, особенно в промыш-
ленности.
Защита информации от искажений 303 тоже недостаточна. Наконец,
безопасность оборудования внешней среды 307 только на среднем уров-
не: довольно хорошая для сектора I и весьма низкая для сектора II.
Организационная безопасность 308, 309, 310, 401, 402, 403, 501, 502,
503, 504, 505.
Средства восстановления и резервирования 308 медленно совершен-
ствуются для больших и средних машин. Безопасность коммуникаций
402 и данных 403 неодинакова: в большей степени аппаратура, средства,
но недостаточно взаимоувязаны. Защита 503 всегда на должном уровне
только против саботажа в нематериальной среде.
Управление безопасностью 601, 602, 603, 604. Процедуры контроля
601 слишком просты. Методики 602 являются часто формальными, обес-
печены аппаратурой и необходимой документацией; не увязаны с прин-
ципом «безопасность - надежность». Мероприятия 603 и 604 пока еще
слабо реализуются из-за недостаточной взаимоувязки и не соответствуют
затратам.
Саботаж в нематериальной сфере весьма распространен, начиная
с фальсификации программ и данных до тотального саботажа путем при-
менения логических бомб и различных вирусов. Этот вид угроз отмеча-
ется во всех обследованных центрах. Убытки главным образом касаются
уничтожения содержания и формы данных, потери целостности, про-
грамм и документов.
В основном эти угрозы направлена на дезорганизацию защиты: атаки
на операционную систему, модификация данных, изменение языка
управления данными, стирание данных на магнитных носителях и др.
Действия совершает в основном в вычислительных центрах внутренний
персонал, а иногда наблюдаются и вне ВЦ пиратские действия в сети те-
ледоступа.
Физические угрозы определяются как конфигурацией, так и распо-
ложением зданий и осложняются их рассредоточением, делением поме-
щений на отдельные кабинеты, рассредоточением средств пожаротуше-
ния и защиты. Меры по восстановлению зависят от наличия резерва.
Что касается угроз внешней среды, то она является физически опас-
ной в части необходимости создания искусственного климата и защиты
212
Часть 2. Информационная безопасность автоматизированных систем
электросетей. Последствия в основном ограниченные, однако часто от-
мечаются довольно значительные задержки в возобновлении снабжения
некоторыми материалами, в особенности для электрооборудования
большой мощности, использующего необычные электрические частоты.
Угрозы телекоммуникационным средствам касаются внутреннего те-
лекоммуникационного оборудования: распределительных щитов, кабе-
лей, автоматических коммутаторов, соединительных коробок, концентра-
торов, контроллеров линий связи, модемов и т. д. Серьезную опасность
представляет выход из строя узлов связи. Отмечен максимальный пере-
рыв в связи до трех недель. Восстановление определяется возможностя-
ми переключения на другие центры, наличием резервных линий и средств.
Забастовки. Отмечен случай, когда эксплуатационный персонал
не имел возможности доступа в центр в течение двух недель. Нанесен-
ный ущерб находится в прямой зависимости от времени.
Уход ведущих специалистов по эксплуатации сетей, управлению
данными, безопасностью и т. д. особенно опасен для малых центров. Са-
мый серьезный случай - уход руководителей проектов или соответст-
вующих функционеров, которые аккумулируют уникальные знания
и практический опыт.
Хищения. Имеются многочисленные сценарии и разнообразные фор-
мы; нередко обычны для информатики манипуляция с библиотекой
данных, программами, управлением заданиями, изменение системы, под-
ключение к сети и т. д., но значительная часть нарушений довольно не-
ординарного характера: неправомерное обслуживание или незаконная
эксплуатация, мошенничество в отношении логического или программ-
ного контроля и т. д. Основа сценариев мошенничества находится
на уровне практического применения, и преступниками являются в пер-
вую очередь сотрудники предприятия или пользователи. Случаи хищения
информации также разнообразны: часто простые листинги, магнитные
носители, запросы с экрана, узурпация права доступа и т. д., а иногда бо-
лее сложные - сетевые. Они относятся в первую очередь к предприятиям
с высокой технологией, распределительным организациям, биржевой
деятельности, организациям-экспортерам и многим видам специфиче-
ской деятельности во всех секторах.
Нарушение конфиденциальности, случаи пиратства отмечаются
только тогда, когда программный продукт представляет собой «секрет
производства» или если предприятие является его владельцем, автором.
Ошибки. Они весьма разнообразны и многочисленны. Часто совер-
шаются злонамеренно. Среди них ошибки хранения и передачи данных,
213
Основы информационной безопасности
а также программ, ошибки интерпретации или использования, концепту-
альные ошибки или ошибки реализации, функциональные или эксплуа-
тационные ошибки.
Аварии. Что касается аварий оборудования или основных элементов
системы, то они являются малораспространенными и определяются на-
дежностью аппаратуры. При выходе ее из строя продолжительность про-
стоя может оказаться довольно значительной. Внешние аварии электри-
ческих сетей и водоснабжения являются более серьезными и более про-
должительными. Они могут иметь внутреннее происхождение, но самые
серьезные из них обусловлены внешними причинами. Восстановление
зависит от автономности средств группы электропитания, резервов топ-
лива и воды для электросети и водоснабжения и т. д.
Что касается посягательств, то их последствия в среднем одинаковы
или более слабы, чем для стихийных бедствий, за исключением случаев,
когда несколько преступников одновременно атакуют различные жиз-
ненно важные точки.
Кражи материальных ценностей. Воруют ПЭВМ, печатающие уст-
ройства, телексы, факсы, мультиплексоры, аппаратуру контроля и изме-
рения и другие элементы и материалы.
Основу ущерба составляют материальные потери и в значительной
части потери информационных материалов, хранящихся на жестких маг-
нитных дисках.
Результаты опроса о величине нанесенного ущерба представлены
в табл. 2.18. Убытки являются весьма значительными, и можно удивлять-
ся тому, что угрозы, случаясь редко, не бывают сразу, одновременно. Это
ослабляет их удары.
Таблица 2.18. Материальные убытки по видамугроз, млн. франков
Ранг Вид угрозы Средняя сумма Максимальная сумма
1 Тотальный саботаж в нематериальной сфере 422 3 000
2 Хищение, мошенничество 319 25 000
3 Физическая угроза 189 1 000
4 Угроза конфиденциальности 68 800
5 Забастовки 56 900
6 Внешняя среда 48 300
7 Т елекоммуникации 22 120
8 Концептуальные ошибки 9 15
214
Часть 2. Информационная безопасность автоматизированных систем
Окончание табл. 2.18
Ранг Вид угрозы Средняя сумма Максимальная сумма
9 Ошибки хранения 7 10
10 Ошибки эксплуатации 7 10
11 Аварии оборудования 7 35
12 Ошибки передачи 6 12
13 Внешние аварии 3 5
14 Уход персонала 2 5
15 Кража материальных ценностей 1 5
Большинство крупных предприятий подвергаются риску, превы-
шающему 1 млрд. фр. Уровень риска большинства из них, как правило,
превышает их возможности в случаях неожиданных ситуаций.
8.4.1. Состояние безопасности малых информационных систем
Результаты анкетирования состояния безопасности малых информа-
ционных систем приведены в табл. 2.19.
Таблица 2.19. Результат ы анкетирования состояния безопасности малых
информационных систем, %
Код Факторы Секторы
финансовый промышленный услуг
да нет да нет да нет
01 Уровень организации безопасности 75,2 24,2 73,9 26,1 82,5 17,502
02 Меры доверия 81,8 18,2 78,3 21,7 55,0 45,0
03 Определение владель- цев информации и классификация 21,2 78,8 39,3 60,7 42,5 57,5
04 Внутренний аудит 60,6 39,4 43,5 56,5 63,0 37,0
05 Внешний аудит 48,5 51,5 39,1 60,9 15,0 85,0
06 Безопасность зданий 54,5 45,5 47,8 52,2 67,5 32,5
07 Безопасность вспомо- гательных служб 30,3 69,7 34,8 65.2 17,5 82,5
08 Физические системы контроля доступа 93,9 6,1 78.2 21,7 90,0 10,0
09 Биометрические систе- мы контроля доступа 0,0 100,0 0,0 100,0 0,0 100,0
Основы информационной безопасности
Окончание табл. 2.19
Код Факторы Секторы
финансовый промышленный .услуг
да нет да нет да нет
10 Обеспечение чистоты воздуха 18,2 81,8 91,3 5,0 95,0
11 Инструкции по безо- пасности 66,7 33,3 60,9 39,1 85,0 10,0
12 Автоматическое туше- ние пожара 90,9 9,1 82,6 17,4 57,5 42,5
13 Система охраны 87,9 12,1 52,2 47,8 75,0 25,0
14 Эвакуация 81,8 18,2 47,8 52.2 70,0 30,0
15 Резервное электропи- тание 81,8 18,2 39,1 60,9 60,0 40,0
16 Оказание помощи 54,5 45,5 56,5 43,5 67,5 32,5
17 Логический контроль доступа 75,8 24,2 65,1 34,8 75,0 25,0
18 Безопасность сети 51,5 48,5 60,9 39,1 60,0 40,0
19 Шифрование 24.2 75,8 4,3 95,7 5,0 95,0
20 Аудит 63,6 39,4 65.2 34,8 62,5 37,5
21 Безопасность носите- лей 33,3 66,7 21,7 78,3 37,5 62,5
22 Внешняя защита 93,9 6,1 91,3 8,7 85,0 15,0
23 Борьба с саботажем в нематериальной сфере 12,1 87,9 17,4 82,6 0,0 100,0
24 Непрерывность и целе- направленность экс- плуатации 70,8 29,2 62,5 37,5 40,0 60,0
25 Надежность эксплуата- ции 63,6 36,4 60,9 39,1 70,0 30,0
26 Использование защи- щенной аппаратуры 21,2 78,8 30,4 69,6 25,0 75,0
27 Спецификация безо- пасности 30,3 69,7 30,4 69,6 0,0 100,0
28 Состояние контроля 27,3 72,7 56,5 43,5 65,0 35,0
29 Взаимоувязка мер кон- троля 57,6 42,4 73,9 26,1 67,5 32,5
30 Аутентификация 63,6 36,4 60,9 39,1 75,0 25,0
Часть 2. Информационная безопасность автоматизированных систем
Результаты опроса и анализа безопасности ПК еще более тревожные
(табл. 2.20).
Таблица 2.20. Котировка факторов
Ло фактора Факторы Котировка
Организационная и экономическая среда
101 Общая организация 1,70
102 Виды контроля 1,75
103 Регламентация и аудит 1,90
201 Социально-экономические 2,78
Физическая безопасность
301 Внешняя окружающая среда 2,75
302 Контроль доступа 1,82
303 Загрязнение 1,64
304 Правила безопасности 1,87
305 Противопожарная безопасность 2,49
306 Защита от затопления 2,30
307 Безопасность работы информац. техники 2,56
Общая информационная безопасность
308 Средства резервирования и восстановления 2,25
309 Протоколы обмена 2,84
310 Подготовка персонала 1,11
311 Планирование безопасности 1,21
401 Безопасность оборудования и базового про- граммного обеспечения 1,58
402 Телекоммуникационная безопасность 1,83
403 Защита данных 0,65
Эксплуатационная безопасность
501 Архивация/дезархивация 1,62
502 Прием и передача данных 1,28
503 Охрана 1,28
504 Надежность функционирования 1,10
505 Обеспечение 2,67
Функциональная безопасность
601 Процедуры проверки 0,59
602 Программные методы контроля 1,57
603 Взаимосвязь методов контроля 1,57
604 Программно-математическая безопасность 2,46
Ж'
Основы информационной безопасности
Безопасность ПК чрезвычайно низкая: пользователи плохо информи-
рованы, слишком озабочены своей независимостью.
8.4.2. Анализ состояния безопасности систем обмена данными
Результаты опроса о состоянии безопасности информационного об-
мена с помощью телекоммуникаций по состоянию на 1990 г. приведены
в табл. 2.21.
Таблица 2.21. Анализ рисков, связанных с использованием
информационного обмена, %
Сектор 1990 2007
Да Нет Да Нет
Финансовый 43 57 И 23
Промышленный 30 70 53 47
Обслуживания 0 100 38 62
В общем 26 74 43 57
Анализ возможных рисков и убытков, показывает, что существенная
динамика происходит в финансовом секторе и секторе обслуживания
(табл. 2.22) [41].
Таблица 2.22. Классификация информации, %
Сектор 1990 2001
Да Нет Да Нет
Финансовый 14 86 82 18
Промышленный 20 80 69 31
Обслуживания 0 100 53 47
В общем 13 87 45 55
Важность качественной классификации информации является необ-
ходимой предпосылкой для использования средств безопасности адек-
ватно эффективности и стоимости. Это часто недооценивается.
Сопоставление того, что следовало бы сделать в области безопасно-
сти систем обмена данными, с тем, что делается в настоящее время, пока-
зывает, что безопасность телекоммуникаций в большинстве случаев
представляет ахиллесову пяту.
Когда классификация проведена, она широко используется для опре-
деления архитектуры информационной системы и для реализации программ,
которые будут управлять информационным обменом (табл. 2.23-2.28).
218
Часть 2. Информационная безопасность автоматизированных систем
Таблица 2.23. Использование классификации в интересах
архитектурной концепции системы, %
Сектор 1990 2001
Да Нет Да Нет
Финансовый 11 89 47 53
Промышленный 20 80 46 54
Обслуживания 0 100 12 88
В общем 12 88 35 65
Анализ показывает, что большое внимание защите важной информа-
ции уделяет финансовый сектор.
Таблица 2.24. Защита важной информации в режиме
«абонент - абонент», %
Сектор 1990 2001
Да Нет Да Нет
Финансовый 57 43 87 13
Промышленный 40 60 62 38
Обслуживания 0 100 12 88
В общем 35 65 43 57
Таблица 2.25. Наличие системы «идентификация/подтверждение
подлинности» каждого пользователя, %
Сектор 1990 2001
Да Нет Да Нет
Финансовый 57 43 89 11
Промышленный 80 20 100 0
Обслуживания 33 67 50 50
В общем 61 39 78 22
Сопоставление двух последних аспектов свидетельствует о более
широком использовании систем «идентификация/подтверждение под-
линности» для внешних корреспондентов по сравнению с внутренними
пользователями. Такая подозрительность по отношению к внешним
пользователям противоречит действительности, которая свидетельствует,
что две трети ущербов, имеющих злонамеренный характер, исходит от
персонала предприятия.
219
Основы информационной безопасности
Таблица 2.26. Наличие системы «идентификация/подтверждение
подлинности» внешних корреспондентов, %
Сектор 1990 2007
Да Нет Да Нет
Финансовый 72 28 86 14
Промышленный 90 10 95 5
Обслуживания 17 83 50 50
В общем 65 35 80 20
Таблица 2.27. Использование системы подписных номеров, %
Сектор 1990 2001
Да Нет Да Нет
Финансовый 15 85 69 31
Промышленный 20 80 36 64
Обслуживания 0 100 0 100
В общем 13 87 28 72
Таблица 2.28. Использование электронной подписи, %
Сектор 1990 2001
Да Нет Да Нет
Финансовый 15 85 41 53
Промышленный 20 80 25 75
Обслуживания 0 100 0 100
В общем 4 96 11 89
8.5. Факторы, влияющие на требуемый уровень защиты
информации
Таким образом, можно классифицировать факторы, влияющие на
уровни защиты информации.
Группа 1 - обусловливаемые характером обрабатываемой информации:
1. Степень секретности.
2. Объемы.
3. Интенсивность обработки.
Группа 2 - обусловливаемые архитектурой автоматизированной сис-
темы обработки данных:
1. Геометрические размеры.
220
Часть 2. Информационная безопасность автоматизированных систем
2. Территориальная распределенность.
3. Структурированность компонентов.
Группа 3 - обусловливаемые условиями функционирования автома-
тизированной системы обработки данных:
1. Расположение в населенном пункте.
2. Расположение на территории объекта.
3. Обустроенность.
Группа 4 - обусловливаемые технологией обработки информации.
1. Масштаб.
2. Стабильность.
3. Доступность.
4. Структурированность.
Группа 5 - обусловливаемые организацией работы автоматизиро-
ванной системы обработки данных:
1. Общая постановка дела.
2. Укомплектованность кадрами.
3. Уровень подготовки и воспитания кадров.
4. Уровень дисциплины.
8.6. Критерии оценки безопасности информационных
технологий
В 2002 г. Гостехкомиссия России утвердила руководящий документ
(РД) «Критерии оценки безопасности информационных технологий.
(Общие критерии)».
Этот РД содержит систематизированный каталог требований к безо-
пасности информационных технологий (ИТ), порядок и методические ре-
комендации по его использованию при задании требований, разработке,
оценке и сертификации продуктов и систем ИТ по требованиям безопас-
ности информации.
Этот документ не отменяет ранее принятые РД. Он разработан в раз-
витие РД Гостехкомиссии России по защите информации от несанкцио-
нированного доступа и соответствует ГОСТ Р ИСО/МЭК 15408-2002
«Информационная технология. Методы обеспечения безопасности. Кри-
терии оценки безопасности информационных технологий».
221
Основы информационной безопасности
Разработка настоящего руководящего документа была направлена
на обеспечение практического использования ГОСТ Р ИСО/МЭК 15408-
2002 в деятельности заказчиков, разработчиков и пользователей продук-
тов и систем ИТ при формировании ими требований, разработке, приоб-
ретении и применении продуктов и систем ИТ, предназначенных для об-
работки, хранения или передачи информации, подлежащей защите в со-
ответствии с требованиями нормативных правовых документов или
требованиями, устанавливаемыми собственником информации. Руково-
дящий документ предназначен также для органов сертификации и испы-
тательных лабораторий, аккредитованных в системе сертификации
средств защиты информации по требованиям безопасности информации
№ РОСС RU.OOOl.OIBHOO (Гостехкомиссии России), для использования
при проведении оценки и сертификации безопасности ИТ.
Основной целью РД является повышение доверия к безопасности
продуктов и систем ИТ. Положения РД направлены на создание продук-
тов и систем ИТ с уровнем безопасности, адекватным имеющимся по от-
ношению к ним угрозам и проводимой политике безопасности с учетом
условий применения, что должно обеспечить оптимизацию продуктов
и систем ИТ по критерию «эффективность - стоимость».
Под безопасностью ИТ в этом РД понимается состояние ИТ, опреде-
ляющее защищенность информации и ресурсов ИТ от действия объек-
тивных и субъективных, внешних и внутренних, случайных и преднаме-
ренных угроз, а также способность ИТ выполнять предписанные функ-
ции без нанесения неприемлемого ущерба субъектам информационных
отношений.
Доверие к безопасности ИТ обеспечивается как реализацией в них
необходимых функциональных возможностей, так и осуществлением
комплекса мер по обеспечению безопасности при разработке продуктов
и систем ИТ, проведением независимых оценок их безопасности и кон-
тролем ее уровня при эксплуатации.
Требования к безопасности конкретных продуктов и систем ИТ уста-
навливаются, исходя из имеющихся и прогнозируемых угроз безопасно-
сти, проводимой политики безопасности, а также с учетом условий их
применения. При формировании требований должны в максимальной
степени использоваться компоненты требований, представленные в на-
стоящем РД. Допускается также использование и других требований
безопасности, при этом уровень детализации и способ выражения требо-
ваний, представленных в настоящем РД, должны использоваться в каче-
стве образца. Требования безопасности могут задаваться заказчиком
в техническом задании на разработку продуктов и систем ИТ или форми-
роваться разработчиком при создании им продуктов ИТ самостоятельно.
222
Часть 2. Информационная безопасность автоматизированных систем
Требования безопасности, являющиеся общими для некоторого типа
продуктов или систем ИТ, могут оформляться в виде представленной
в настоящем РД структуры, именуемой «профилем защиты». Профили
защиты, прошедшие оценку в установленном порядке, регистрируются и
помещаются в каталог оцененных профилей защиты.
Оценка и сертификация безопасности ИТ проводится на соответствие
требованиям, представляемым разработчиком продукта или системы ИТ
в задании по безопасности. Требования заданий по безопасности продук-
тов и систем ИТ, предназначенных для использования в областях приме-
нения, регулируемых государством, должны соответствовать требовани-
ям установленных профилей защиты.
РД состоит из трех частей.
Ч. 1 определяет виды требований безопасности (функциональные
и требования доверия), основные конструкции представления требований
безопасности (профиль защиты, задание по безопасности) и содержит ос-
новные методические положения по оценке безопасности ИТ.
Ч. 2 содержит универсальный систематизированный каталог функ-
циональных требований безопасности и предусматривает возможность
их детализации и расширения по определенным правилам.
Ч. 3 содержит систематизированный каталог требований доверия
к безопасности и оценочные уровни доверия, определяющие меры, кото-
рые должны быть приняты на всех этапах жизненного цикла продуктов
или систем ИТ для обеспечения уверенности в том, что они удовлетво-
ряют предъявленным к ним функциональным требованиям.
Требования безопасности, содержащиеся в настоящем РД, могут
уточняться и дополняться по мере совершенствования правовой и норма-
тивной базы, развития ИТ и совершенствования методов обеспечения
безопасности. Внесение изменений в РД осуществляется в порядке, уста-
навливаемом Гостехкомиссией России.
В табл. 2.29 приведен путеводитель по общим критериям, позволяю-
щий потребителям, разработчикам и экспертам ориентироваться в содер-
жании РД.
Таблица 2.29. Путеводитель по общим критериям ориентировки вРД
Часть Потребители Разработчики Эксперты
1 Общие сведения по применению. Руководство по структуре про- филей защиты Общие сведения и справочное руково- дство ддя разработки требований и форму- лирования специфика- ций безопасности ддя объектов оценки (00) Общие сведения по применению. Руково- дство по структуре профилей защиты и за- даний по безопасности
Основы информационной безопасности
Окончание табл. 2.29
Часть Потребители Разработчики Эксперты
2 Руководство и справочник при формулировании требований к функциям безо- пасности Справочник при ин- терпретации функцио- нальных требований и формулировании функциональных спе- цификаций дая 00 Официальное описание критериев оценки дая определения эффек- тивности выполнения 00 требуемых функ- ций безопасности
3 Руководство при определении требуемого уровня гарантии Справочник при ин- терпретации описаний требований гарантии и определении подходов к обеспечению гаран- тии дая 0 0 Официальное описание критериев оценки при определении гарантии дая 00 и при оценке профилей защиты и за- даний по безопасности
Рассматриваемый РД использует следующую терминологию.
Активы (Assets) - информация или ресурсы, которые должны быть
защищены средствами 00.
Атрибут безопасности (Security attribute) - информация, связанная
с субъектами, пользователями и/или объектами, которая применяется для
реализации политики безопасности (ПБ) 00.
Аутентификационные данные (Authentication data) - данные, ис-
пользуемые для подтверждения подлинности пользователя.
Базовая стойкость функции безопасности (СФБ) (SOF-basic) -
уровень стойкости функции безопасности О 0, на котором в соответствии
с результатами анализа обеспечивается адекватная защита от случайного
нарушения безопасности 00 нарушителями с низким потенциалом напа-
дения.
Внешний объект ИТ (External IT entity) - любые продукты или
система ИТ, доверенные или нет, находящиеся вне 00 и взаимодейст-
вующие с 00.
Внутренний канал связи 00 (Internal communication channel
TOE) - канал связи между отдельными частями О 0.
Выбор (Selection) - выделение одного или нескольких элементов
из списка в компоненте.
Высокая СФБ (SOF-high) - уровень стойкости функции безопасно-
сти 00, на котором в соответствии с результатами анализа обеспечивает-
ся адекватная защита от тщательно спланированного и организованного
нарушения безопасности 00 нарушителями с высоким потенциалом на-
падения.
Гарантия (Assurance) - основание для уверенности в том, что объ-
ект соответствует заданным целям безопасности.
Часть 2- Информационная безопасность автоматизированных систем
Данные комплексной системы безопасности (КСБ) (TSF data) -
данные, созданные 00 или созданные для 00, которые могут повлиять
на его функционирование.
Данные пользователя (User data) - данные, созданные пользовате-
лем или для пользователя, которые не влияют на функционирование
КСБ.
Доверенный канал (Trusted channel) - средства взаимодействия
между КСБ и удаленным доверенным продуктом ИТ, обеспечивающие
необходимую степень уверенности в выполнении ПБ 0 0.
Доверенный маршрут (Trusted path) - средства взаимодействия
между пользователем и КСБ, обеспечивающие необходимую степень
уверенности в выполнении ПБ 0 0.
Зависимость (Dependency) - такое соотношение между требования-
ми, при котором требование, от которого зависят другие требования,
должно быть полностью выполнено, чтобы и другие требования могли
быть реализованы.
Задание по безопасности (Security Target) - совокупность требова-
ний безопасности и спецификаций, которую необходимо использовать
в качестве основы для оценки конкретного 00.
Идентификатор (Identity) - представление уполномоченного поль-
зователя (например, строка символов), однозначно его идентифицирую-
щее. Таким представлением может быть полное или сокращенное имя
этого пользователя или его псевдоним.
Интерфейс комплекса средств обеспечения безопасности 00
(TOE Security Functions Interface) - совокупность интерфейсов, как ин-
терактивных (человекомашинные интерфейсы), так и программных (ин-
терфейсы прикладных программ), с использованием которых осуществ-
ляется доступ к ресурсам 00 под контролем КСБ или получение от КСБ
какой-либо информации.
Итерация (Iteration) - более чем однократное использование компо-
нента при различном выполнении операций.
Класс (Class) - совокупность семейств, объединенных общим назна-
чением.
Комплекс средств обеспечения безопасности 00 (ГОЕ Security
Functions) - совокупность всех аппаратных, программных и программно-
аппаратных средств О 0, обеспечивающих адекватную реализацию ПБ О 0.
Компонент (Component) - наименьшая совокупность элементов, ко-
торая может быть выбрана для включения в профиль защиты (ПЗ), зада-
ние по безопаности (ЗБ) или пакет.
Механизм проверки правомочности обращений (Reference valida-
tion mechanism) - реализация монитора обращений, обладающая сле-
225
Основы информационной безопасности
дующими свойствами: защищенностью от проникновения; постоянной
готовностью; простотой, достаточной для проведения полного анализа
и тестирования.
Модель политики безопасности 00 (TOE security policy model) -
структурированное представление ПБ, которая должна быть реализована
00.
Монитор обращений (Reference monitor) - концепция абстрактной
машины, реализующей политику управления доступом 00.
Назначение (Assignment) - спецификация заданного параметра
в компоненте.
Неформальный (Informal) - выраженный на естественном языке.
Область действия КСБ (TSF Scope of Control) - совокупность воз-
можных взаимодействий с 00 или внутри его, которые подчинены пра-
вилам ПБ 00.
Объект (Object) - сущность в пределах области действия комплекс-
ной системы безопасности (ОДКСБ), которая содержит или принимает
информацию и над которой субъекты выполняют операции.
Объект оценки (Target of Evaluation) - подлежащие оценке продукт
ИТ или система с руководствами администратора и пользователя (с доку-
ментацией).
Оператор-пользователь (Human user) - любое лицо, взаимодейст-
вующее с 00.
Орган оценки (Evaluation authority) - организация, которая посред-
ством системы оценки осуществляет применение общих критериев (ОК)
для определенной сферы, устанавливает стандарты и контролирует каче-
ство оценок, проводимых в данной сфере другими организациями.
Оценка (Evaluation) - установление соответствия ПЗ, ЗБ или 00 оп-
ределенным критериям.
Пакет (Package) - неоднократно используемая совокупность функ-
циональных компонентов или компонентов гарантии (например, оценоч-
ного уровня доверия (ОУД)), объединенных для достижения определен-
ных целей безопасности.
Передача в пределах 00 (Internal TOE transfers) - передача дан-
ных между отдельными частями 00.
Передача за пределы области действия КСБ (Transfers outside
TSF control) - передача данных сущностям, не контролируемым КСБ.
Передача между КСБ (Inter-TSF transfers) - передача данных меж-
ду 00 и КСБ других доверенных продуктов ИТ.
Политика безопасности организации (Organisational security
policies) - совокупность правил, процедур, практических приемов или
226
Часть 2. Информационная безопасность автоматизированных систем
руководящих принципов в области безопасности, которыми руково-
дствуется организация в своей деятельности.
Политика безопасности 00 (TOE Security Policy) - совокупность
правил, регулирующих управление, защиту и распределение активов
внутри 00.
Политика функции безопасности (Security Function Policy) - поли-
тика безопасности, реализуемая некоторой функцией безопасности (ФБ)
(некоторым СБ).
Полуформальный (Semiformal) - выраженный на языке с ограни-
ченным синтаксисом и заданной семантикой.
Пользователь (User) - любая сущность (оператор-пользователь или
внешний объект ИТ) за пределами 00, которая взаимодействует с 00.
Потенциал нападения (Attack potential) - предполагаемая возмож-
ность успеха в случае реализации нападения, выраженная в терминах
квалификации, ресурсов и мотивации нарушителя.
Продукт (Product) - совокупность программных, программно-
аппаратных и/или аппаратных средств ИТ, предоставляющая определен-
ные функциональные возможности и предназначенная как для непосред-
ственного использования, так и для включения в различные системы.
Профиль защиты (Protection Profile) - не зависящая от реализации
(не связанная с реализацией) совокупность требований безопасности для
некоторой категории 00, отвечающей специфическим потребностям по-
требителя.
Расширение (Extension) - добавление в ЗБ или ПЗ функциональных
требований, не содержащихся в ч. 2, и/или требований гарантии, не со-
держащихся в ч. 3 ОК.
Ресурс 00 (TOE resource) - все, что может использоваться или по-
требляться в 00.
Роль (Role) - заранее определенная совокупность правил, устанавли-
вающих допустимые взаимодействия между пользователем и 00.
Связность (Connectivity) - свойство 00, позволяющее ему взаимо-
действовать с объектами ИТ, внешними по отношению к 00. Это взаи-
модействие включает обмен данными по проводным или беспроводным
средствам в любой среде, на любое расстояние и при любой конфигура-
ции.
Секрет (Secret) - информация, которая должна быть доступна только
уполномоченным пользователям и/или функцией безопасности 00
(ФБО) для реализации определенной политики функции безопасности
(ПФБ).
227
Основы информационной безопасности
Семейство (Family) - совокупность компонентов, объединенных
одинаковыми целями безопасности, но отличающихся акцентами или
строгостью.
Система (System) - автоматизированная система с определенными
назначением и условиями эксплуатации.
Система оценки (Evaluation scheme) - организационно-правовая
структура, в рамках которой осуществляется применение ОК в опреде-
ленной сфере.
Средняя СФБ (SOF-medium) - уровень стойкости функции безо-
пасности 00, на котором в соответствии с результатами анализа обеспе-
чивается адекватная защита от целенаправленного нарушения безопасно-
сти 00 нарушителями с умеренным потенциалом нападения.
Стойкость функции безопасности (Strength of Function) - характе-
ристика функции безопасности 00, выражающая минимально необходи-
мые воздействия непосредственно на ее механизмы безопасности, в ре-
зультате которых нарушается работа этой функции.
Субъект (Subject) - сущность, находящаяся в ОДКСБ, которая ини-
циирует выполнение операций.
Уполномоченный пользователь (Authorised user) - пользователь,
которому в соответствии с ПБ ОО разрешено выполнять определенные
действия.
Уровень гарантии оценки (Evaluation Assurance Level) - пакет
компонентов гарантии из ч. 3 ОК, соответствующий определенному по-
ложению на заданной ОК шкале гарантии.
Усиление (Augmentation) - добавление одного или нескольких ком-
понентов гарантии из ч. 3 в УГО или пакет гарантии.
Уточнение (Refinement) - добавление деталей в компонент.
Формальный (Formal) - выраженный на языке с ограниченным син-
таксисом и заданной семантикой, основанной на строго определенных
математических концепциях.
Функция/средство обеспечения безопасности (Security Function) -
часть или части 00, обеспечивающие выполнение подмножества взаимо-
связанных правил ПБ 0 0.
Цель безопасности (Security objective) - сформулированное намере-
ние противостоять идентифицированным угрозам и/или удовлетворять
идентифицированной политике безопасности организации и предполо-
жениям.
Элемент (Element) - неделимое требование безопасности.
В разделе «Общая модель» представлены общие концепции ОК,
включая условия, в которых они должны использоваться, и решения по
228
Часть 2. Информационная безопасность автоматизированных систем
их применению. Части 2 и 3 расширяют сферу применения концепций
в рамках описанного подхода.
Безопасность рассматривается в ОК с использованием некоторой со-
вокупности понятий и терминологии, приведенных выше. Их понимание
является предпосылкой к эффективному использованию ОК. Однако эти
понятия имеют общий характер и их использование не ограничивается
областью проблем безопасности ИТ, к которой применимы ОК.
Следующая схема иллюстрирует общие понятия безопасности и их
взаимосвязь (рис. 2.18).
Рис. 2.18. Общие понятия безопасности и их взаимосвязь
Безопасность связана с защитой активов от угроз, классифицируемых
в зависимости от возможности злоупотреблений защищаемыми активами.
Во внимание должны приниматься все разновидности угроз, но в первую
очередь те, которые связаны со случайными или умышленными дейст-
виями человека. Сохранность защищаемых активов представляет интерес
для их собственников, которые придают большое значение таким акти-
вам. Существующие или предполагаемые агенты угроз (нарушители)
также могут придавать большое значение этим активам и стремиться их
использовать вопреки интересам их собственника. Собственники вос-
принимают подобные угрозы как возможность воздействия на активы,
229
Основы информационной безопасности
ведущего к снижению их ценности для собственника. К нарушениям
безопасности обычно относятся (но не обязательно ими ограничиваются):
наносящее ущерб раскрытие актива несанкционированным получателем
(потеря конфиденциальности), повреждение актива посредством несанк-
ционированной модификации (потеря целостности) или несанкциониро-
ванное лишение доступа к активу (потеря доступности).
Владельцы активов должны проанализировать возможные угрозы,
чтобы определить, какие из них действительно присущи их среде. В ре-
зультате анализа определяются риски. Анализ должен помочь при выборе
мер противодействия угрозам и при уменьшении рисков до приемлемого
уровня.
Контрмеры направлены на уменьшение уязвимостей и выполнение
политики безопасности владельцев активов (прямо или косвенно распре-
деляясь между этими составляющими). Но и после принятия этих мер
уязвимости могут остаться. Такие уязвимости могут использоваться
агентами угроз (нарушителями), представляя уровень остаточного риска
для активов. Владельцы будут стремиться минимизировать этот риск, за-
давая дополнительные ограничения.
ОК определяют совокупность конструкций, объединяемых в содер-
жательные наборы требований безопасности известной пригодности, ко-
торые затем могут быть использованы при установлении требований
безопасности к перспективным продуктам и системам. Взаимосвязь раз-
личных конструкций для выражения требований иллюстрируется на сле-
дующей схеме (рис. 2.19).
Рис. 2.19. Организация и структура требований
230
Часть 2. Информационная безопасность автоматизированных систем
Организация требований безопасности в ОК в виде иерархии «класс -
семейство - компонент» призвана помочь потребителям в поиске кон-
кретных требований безопасности.
Функциональные требования и требования доверия представлены
в ОК в едином стиле с использованием одной и той же структуры и тер-
минологии.
Термин «класс» применяется для наиболее общего группирования
требований безопасности. Все составляющие класса имеют общую на-
правленность, но различаются по охвату целей безопасности.
Составляющие класса называются семействами.
Семейство - это группа наборов требований безопасности, имеющих
общие цели безопасности, но различающихся акцентами или строгостью.
Составляющие семейства называются компонентами.
Компонент описывает специфический набор требований безопасно-
сти, который является наименьшим выбираемым набором требований
безопасности для включения в структуры, определенные в ОК. Совокуп-
ность компонентов, входящих в семейство, может быть упорядочена для
представления возрастания строгости или возможностей требований
безопасности, имеющих общее назначение. Они могут быть также упоря-
дочены частично для представления связанных неиерархических набо-
ров. Упорядочение неприменимо в случае, когда в семействе имеется
только один компонент.
Компоненты составлены из отдельных элементов. Элемент - это вы-
ражение требований безопасности на самом нижнем уровне. Он является
тем неделимым требованием безопасности, которое может быть верифи-
цировано при оценке.
Автор пишет только половину книги:
другую половину пишет читатель.
Джозеф Конрад
9. Функции и задачи защиты информации
9.1. Общие положения
Одно из фундаментальных положений системно-концептуального
подхода к защите информации состоит в том, что предполагается разра-
ботка такой концепции, в рамках которой имелись бы (по крайней мере
потенциально) возможности гарантированной защиты информации для
самого общего случая архитектурного построения АСОИ, технологии
и условий их функционирования. Для того чтобы множество функций
231
Основы информационной безопасности
соответствовало своему назначению, оно должно удовлетворять требова-
нию полноты, причем под полнотой множества функции понимается
свойство, состоящее в том, что при надлежащем обеспечении соответст-
вующего уровня (соответствующей степени) осуществления каждой
из функций множества гарантированно может быть достигнут требуемый
уровень защищенности информации.
Защита информации в современных АСОИ может быть эффективной
лишь в том случае, если она будет осуществляться как непрерывный
и управляемый процесс. Для этого должны быть предусмотрены, с одной
стороны, механизмы непосредственной защиты информации, а с дру-
гой - механизмы управления механизмами непосредственной защиты.
Соответственно этому и множество функций защиты должно состоять
из двух подмножеств: первого, содержащего функции непосредственно
защиты, и второго, содержащего функции управления механизмами за-
щиты.
Обеспечение регулярного осуществления функций защиты достига-
ется тем, что в АСОИ регулярно решаются специальные задачи защиты.
При этом задачей защиты информации называются организованные воз-
можности средств, методов и мероприятий, реализуемых в АСОИ с це-
лью осуществления функций защиты. Основное концептуальное требо-
вание к задачам защиты состоит в надежном обеспечении заданного
уровня осуществления каждой из полного множества функций защиты.
Сущность этого требования заключается в следующем.
Множество функций защиты должно быть полным в том смысле, что
регулярное их осуществление обеспечивает условия для надежной защи-
ты информации в системном плане. При этом варьируя усилиями и ре-
сурсами, вкладываемыми в осуществление различных функций, можно
стремиться к такому положению, когда требуемый уровень защиты ин-
формации будет достигаться при минимальных затратах, или к положе-
нию, когда при заданных затратах будет достигаться максимальный уро-
вень защиты. Иными словами, полнота множества функций защиты
и взаимозависимости различных функций создают предпосылки для оп-
тимального построения системы защиты информации в АСОИ. Практи-
ческая реализация этой возможности может быть обеспечена лишь в том
случае, если множество задач защиты будет репрезентативным в том
смысле, что будет позволять обеспечивать любой заданный уровень
осуществления каждой функции защиты, и притом с минимизацией рас-
ходов на осуществление как каждой функции отдельно, так и их сово-
купности. Таким образом, задачи защиты информации являются инстру-
ментом практической реализации функций защиты в соответствии с объ-
ективными потребностями защиты.
232
Часть 2. Информационная безопасность автоматизированных систем
9.2. Методы формирования функций защиты
Требование полноты множества функций защиты применительно
к двум отмеченным видам интерпретируются следующим образом.
• Множество функций обеспечения защиты должно быть таким, чтобы
осуществлением их в различных комбинациях и с различными уси-
лиями в любой ситуации при функционировании АСОИ могли быть
созданы все условия, необходимые для надежной защиты информации.
• Множество функций управления должно создавать все предпосылки
для оптимальной реализации функций обеспечения в любых условиях.
Вместе с тем принципиально важно подчеркнуть, что регулярных
(а тем более формальных) методов решения проблемы не существует
(по крайней мере в настоящее время). Вынужденно приходится исполь-
зовать методы неформальные. Таким образом, формирование функций
защиты приходится осуществлять в ситуации, когда требования к форми-
рованию являются абсолютными, а методы, которые могут быть при этом
использованы, весьма относительны структурно логический анализ экс-
пертные оценки и просто здравый смысл компетентных специалистов
Совершенно очевидно, что множество функций защиты информации
должно быть таким, чтобы надлежащим их осуществлением можно было
оказывать желаемое воздействие на любую ситуацию, которая потенци-
ально возможна в процессе организации и обеспечения защиты инфор-
мации.
Последовательность и содержание структурно-логического анализа
ситуаций, потенциально возможных в процессе защиты информации,
можно представить в следующем виде.
Для того чтобы защищенность информации могла быть нарушена,
должны существовать (иметь место) такие условия, при которых могут
проявиться дестабилизирующие факторы. Если таких условий не будет,
то не будет необходимости в специальной защите информации. Если же
потенциальные возможности для проявления дестабилизирующих факто-
ров будут иметь место, то надо оценивать реальную возможность их про-
явления, обнаруживать факты их проявления, принимать меры к предот-
вращению воздействия их на информацию, обнаружению, локализации
и ликвидации последствий этих воздействий (рис. 2.20).
Событие 1 - защита информации обеспечена, поскольку даже при
условии проявления дестабилизирующих факторов предотвращено их
воздействие на защищаемую информацию или ликвидированы последст-
вия такого воздействия.
233
Основы информационной безопасности
СЗИ
Ь .. I LZZ 13 I
информация
Рис. 2.20. Уровни событий при возникновении
дестабилизирующих факторов
Событие 2 - защита информации нарушена, поскольку не удалось
предотвратить воздействие дестабилизирующих факторов на информа-
цию, однако это воздействие локализовано.
Событие 3 - защита информации разрушена, поскольку воздействие
дестабилизирующих факторов на информацию не только не предотвра-
щено, но даже не локализовано.
Формирование множества задач осуществляется на основе анализа
объективных возможностей реализации поставленных целей защиты. Та-
кое множество задач может состоять из ряда классов задач, включающих
содержащие однородные в функциональном отношении задачи.
Класс задач - это однородное в функциональном отношении множе-
ство задач, обеспечивающих полную или частичную реализацию одной
или нескольких целей.
9.3. Классы задач защиты информации
Учитывая, что основными целями обеспечения информационной
безопасности являются обеспечение защиты системы от обнаружения
и от информационного воздействия, а также содержания информации,
выделяются задачи соответствующих видов.
Одной из первичных целей противника является обнаружение объек-
та, обрабатывающего конфиденциальную информацию, и выявление све-
дений о его предназначении. Поэтому к первому виду задач можно отне-
сти задачи уменьшения степени распознавания объектов. К этому ви-
ду относятся следующие классы задач.
Класс 1.1. Сокрытие информации о средствах, комплексах, объектах
и системах обработки информации. Эти задачи могут подразделяться
на технические и организационные.
Организационные задачи по сокрытию информации об объектах на-
правлены на недопущение разглашения этих сведений сотрудниками
и утечки их по агентурным каналам.
Часть 2. Информационная безопасность автоматизированных систем
Технические задачи направлены на устранение или ослабление тех-
нических демаскирующих признаков объектов защиты и технических
каналов утечки сведений о них. При этом сокрытие осуществляется
уменьшением электромагнитной, временной, структурной и признаковой
доступности, а также ослаблением адекватности между структурой, то-
пологией и характером функционирования средств, комплексов, объек-
тов, систем обработки информации и управления.
Решение этой задачи представляет реализацию комплекса организа-
ционно-технических мероприятий и мер, обеспечивающих выполнение
основного требования к средствам, комплексам и системам обработки
информации - разведзащищенности и направлено на достижение одной
из главных целей - исключение или существенное затруднение техниче-
ской разведке поиска, определения местоположения, радионаблюдения
источников радиоизлучения, классификации и идентификации объектов
технической разведкой по выявленным демаскирующим признакам.
Решение задачи по снижению электромагнитной доступности за-
трудняет как энергетическое обнаружение, так и определение координат
района расположения источников радиоизлучения, а также увеличивает
время выявления демаскирующих признаков, уменьшает точность изме-
рения параметров и сигналов средств радиоизлучения.
Снижение временной доступности радиоизлучающих средств пред-
полагает сокращение времени их работы на излучение при передаче ин-
формации и увеличение длительности паузы между сеансами обработки
информации. Для уменьшения структурной и признаковой доступности
информации реализуются организационно-технические мероприятия, ос-
лабляющие демаскирующие признаки и создающие так называемый «се-
рый фон».
Технические задачи сокрытия должны решаться, например, для под-
вижных объектов (автомобилей), оборудованных радиосвязью.
Класс 1.2. Дезинформация противника.
К этому классу относятся задачи, заключающиеся в распространении
заведомо ложных сведений относительно истинного назначения каких-то
объектов и изделий, действительного состояния какой-то области госу-
дарственной деятельности, положении дел на предприятии и т. д.
Дезинформация обычно проводится путем распространения ложной
информации по различным каналам, имитацией или искажением призна-
ков и свойств отдельных элементов объектов защиты, создания ложных
объектов, по внешнему виду или проявлениям похожих на интересую-
щих соперника объекты, и др.
235
Основы информационной безопасности
Роль дезинформации подчеркивал А. Ф. Вивиани, специалист в об-
ласти контршпионажа: «На нас обрушивается, валится, извергается ог-
ромное количество информации. Она бывает фальшивой, но выглядит
правдоподобно; бывает правдивой, а на самом деле хитроумно перекрое-
на, дабы производить впечатление фальшивой; бывает отчасти фальши-
вой и отчасти правдивой. Все зависит от выбранного способа так назы-
ваемой дезинформации, цель которой - заставить вас верить, желать, ду-
мать, принимать решения в направлении, выгодном для тех, кому зачем-
то нужно на нас воздействовать» [43].
Техническая дезинформация на объекте защиты представляет ком-
плекс организационных мероприятий и технических мер, направленных
на введение в заблуждение технической разведки относительно истинных
целей систем обработки информации, намерений органов управления.
Частными задачами технической дезинформации являются:
• искажение демаскирующих признаков реальных объектов и систем,
соответствующих признакам ложных объектов;
• создание (имитация) ложной обстановки, объектов, систем, комплек-
сов путем воспроизведения демаскирующих признаков реальных
объектов, структур систем, ситуаций, действий, функций и т. д.
• передача, обработка, хранение в системах обработки ложной инфор-
мации.
В общем виде эти задачи могут быть сгруппированы в частные зада-
чи радиоимитации, радиодезинформации, демонстративных действий.
Класс 1.3. Легендирование.
Объединяет задачи по обеспечению получения злоумышленником
искаженного представления о характере и предназначении объекта, когда
наличие объекта и направленность работ на нем полностью не скрывают-
ся, а маскируются действительное предназначение и характер мероприятий.
На практике, учитывая очень высокую степень развития современ-
ных средств ведения разведки, является чрезвычайно сложным полное
сокрытие информации об объектах. Так, современные средства фотораз-
ведки позволяют делать из космоса снимки объектов с разрешающей
способностью в несколько десятков сантиметров.
Поэтому наряду с рассмотренным видом задач не менее важными,
а по содержанию более объемными являются задачи защиты содержа-
ния обрабатываемой, хранимой и передаваемой информации. К это-
му виду относятся следующие классы задач.
Класс 2.1. Введение избыточности элементов системы.
Под избыточностью понимается включение в состав элементов сис-
темы обработки информации дополнительных компонентов, обеспечи-
Часть 2. Информационная безопасность автоматизированных сисчем
вающих реализацию заданного множества целей защиты с учетом воз-
действий внешних и внутренних дестабилизирующих факторов.
Решение этой задачи включает реализацию комплекса организацион-
ных мероприятий, технических, программных и других мер, обеспечи-
вающих организационную, аппаратную, программно-аппаратную, вре-
менную избыточность.
Организационная избыточность осуществляется за счет введения до-
полнительной численности обслуживающего персонала, его обучения,
организации и обеспечения режима сохранения государственной тайны
и другой конфиденциальной информации, определения порядка передачи
информации различной степени важности, выбора мест размещения
средств и комплексов обработки и т. и.
Аппаратурная избыточность осуществляется за счет введения допол-
нительных технических устройств, обеспечивающих защиту информации.
Программно-аппаратная избыточность предполагает использование
дополнительных программных, аппаратных и комбинированных средств
защиты в системе обработки информации.
Информационная избыточность осуществляется за счет создания до-
полнительных информационных массивов, банков данных.
Временная избыточность предполагает выделение дополнительного
времени для проведения обработки информации и др.
Класс 2.2. Резервирование элементов системы.
Резервирование в отличие от задачи введения избыточности предпо-
лагает не введение дополнительных элементов, обеспечивающих защиту
информации, а их исключение и перевод в резерв на случай возникнове-
ния необходимости обработки дополнительного массива информации,
повышения статуса защищенности информации, возникновения непред-
виденных ситуаций. Такое резервирование может быть горячим и холод-
ным.
При горячем резервировании элементы находятся в рабочем состоя-
нии после дополнительных операций включения и подготовки к работе,
а при холодном элементы переводятся в рабочее состояние после
дополнительных операций.
Класс 2.3. Регулирование доступа к элементам системы и защищае-
мой информации.
Регулирование доступа к средствам, комплексам и системам обра-
ботки информации (на территорию, в помещение, к техническим средст-
вам, к программам, к базам данных и т. п.) предполагает реализацию
идентификации, проверки подлинности и контроля доступа, регистрацию
субъекта, учет носителей информации в системе ее обработки.
237
Основы информационной безопасности
Кроме того, к данному классу относятся задачи по установлению
и регулированию контролируемых зон вокруг технических средств обра-
ботки информации, за пределами которых становятся невозможными вы-
деление и регистрация с помощью технических средств разведки сигна-
лов, содержащих конфиденциальную информацию. Такие сигналы могут
возникать, например, за счет появления вокруг функционирующих
средств обработки информации побочных электромагнитных излучений
или наводок в проводах, выходящих за пределы контролируемой зоны.
Класс 2.4. Регулирование использования элементов системы и за-
щищаемой информации.
Регулирование использования заключается в осуществлении запра-
шиваемых процедур (операций) при условии предъявления некоторых
заранее обусловленных полномочий.
Для решения данного класса задач относительно конфиденциальной
информации могут осуществляться такие операции, как ее дробление
и ранжирование.
Дробление (расчленение) информации на части с таким условием,
что знание какой-то одной части информации (например, знание одной
операции технологии производства какого-то продукта) не позволяет
восстановить всю картину, всю технологию в целом.
Ранжирование включает, во-первых, деление засекречиваемой ин-
формации по степени секретности и, во-вторых, регламентацию допуска
и разграничение доступа к защищаемой информации: предоставление
индивидуальных прав отдельным пользователям на доступ к необходи-
мой им конкретной информации и на выполнение отдельных операций.
Разграничение доступа к информации может осуществляться по темати-
ческому признаку или по признаку секретности информации и определя-
ется матрицей доступа.
Примером данного класса задач является доступ сотрудников к об-
служиванию специальной техники только при наличии соответствующе-
го разрешения.
Класс 2.5. Маскировка информации.
Маскировка информации заключается в преобразовании данных, ис-
ключающем доступ посторонних лиц к содержанию информации и обес-
печивающем доступ разрешенным пользователям при предъявлении ими
специального ключа преобразования. Решение этой задачи осуществля-
ется на основе криптографических, некриптографических и смежных
с ними (кодовое зашумление, ортогональные преобразования) преобразо-
ваний.
Класс 2.6. Регистрация сведений.
Регистрация предполагает фиксацию всех сведений о фактах, собы-
тиях, возникающих в процессе функционирования средств и систем об-
Часть 2. Информационная безопасность автоматизированных систем
работки информации, относящихся к защите информации, на основании
которых осуществляется решение задач оценки состояния безопасности
информации с целью повышения эффективности и управления механиз-
мами защиты.
Класс 2.7. Уничтожение информации.
Решение задачи уничтожения информации представляется как про-
цедура своевременного полного или частичного вывода из системы обра-
ботки элементов информации, компонентов системы, не представляющих
практической, исторической, научной ценности, а также если их даль-
нейшее нахождение в системе обработки снижает безопасность инфор-
мации.
Необходимо отметить, что для различных классов информационно-
телекоммуникационных систем уничтожение информации будет иметь
определенную специфику. Так, для систем автоматизированной обработ-
ки информации типичной процедурой является уничтожение остаточной
информации в элементах ОЗУ, отдельных магнитных носителях, про-
граммных модулях, контрольных распечатках, выданных документах по-
сле решения соответствующей задачи обработки информации.
Для криптографических систем такой задачей может быть своевре-
менное уничтожение носителей ключевой информации для шифрования
данных в целях повышения криптостойкости (способности аппаратуры
шифрования противостоять вскрытию секрета шифра).
Одной из разновидностей уничтожения информации является так на-
зываемое аварийное уничтожение, осуществляемое при явной угрозе
злоумышленного доступа к информации повышенной важности.
Класс 2.8. Обеспечение сигнализации.
Решение задачи обеспечения сигнализации состоит в реализации
процедуры сбора, генерирования, передачи, отображения и хранения
сигналов о состоянии механизмов защиты с целью обеспечения регуляр-
ного управления ими, а также объектами и процессами обработки ин-
формации. Этот класс задач обеспечивает обратную связь в системе
управления, чем достигается обеспечение активности системы защиты.
В основном такие задачи решаются с помощью технических средств
сигнализации.
Класс 2.9. Обеспечение реагирования.
Получив по каналам обратной связи информацию о состоянии систе-
мы защиты, в соответствии с законами управления орган управления
должен при необходимости выработать управленческое решение, т. е. от-
реагировать на полученный сигнал. Реагирование на проявление деста-
билизирующих факторов является признаком активности системы защи-
239
Основы информационной безопасности
ты информации, реализация которого направлена на предотвращение или
снижение степени воздействия факторов на информацию.
Класс 2.10. Управление системой защиты информации.
Этот класс объединяет широкий круг задач, связанных с контролем
правильности функционирования механизмов обработки и защиты ин-
формации, оценкой внутренних и внешних угроз, планированием защиты
и т. д. При этом понятие «контроль» рассматривается в узком смысле
и сводится к проверкам эффективности реализации технических и, в ча-
стности, аппаратных мер защиты: соответствия элементов системы за-
данному их составу, текущего состояния элементов системы, работоспо-
собности элементов системы, правильности функционирования элемен-
тов системы, отсутствия несанкционированных устройств и систем съема
информации.
Класс 2.11. Обеспечение требуемого уровня готовности обслужи-
вающего персонала к решению задач информационной безопасности.
Приведенный ранее анализ угроз информации показал, что одной из
наиболее значимых причин нарушения ее целостности является ошибки
и сбои в работе персонала. В связи с этим к рассматриваемому классу от-
носятся задачи достижения необходимого уровня теоретической подго-
товки и практических навыков в работе (подготовка персонала), а также
задачи формирования высокой психофизиологической устойчивости
к воздействию дестабилизирующих факторов и моральной устойчивости
к разглашению конфиденциальных сведений (подбор, оценка персонала,
стимулирование его деятельности и др.).
К третьему виду относятся задачи защиты информации от инфор-
мационного воздействии. К ним можно отнести следующие классы задач.
Класс 3.1. Защита от информационного воздействия на технические
средства обработки.
Информационное воздействие на технические средства обработки,
хранения и передачи информации может быть направлено:
• на уничтожение информации (например, электронное подавление
средств связи);
• искажение или модификацию информации и логических связей (вне-
дрение компьютерных вирусов);
• внедрение ложной информации в систему.
Таким образом, данный класс включает задачи реализации техниче-
ских средств и организационно-технических мероприятий по защите
от рассмотренных направлений воздействия.
Часть 2. Информационная бсопасность автоматизированных систем
Класс 3.2. Защита от информационного воздействия на общество.
Задачи предполагают разработку и реализацию методов защиты
от негативного воздействия через СМИ на общественное сознание лю-
дей. Целями такого воздействия могут быть, например, навязывание об-
щественного мнения (пропаганда), решение экономических вопросов
(реклама), разрушение национальных традиций и культуры (навязывание
со стороны других государств чуждых культурных ценностей) и др.
Класс 3.3. Зашита от информационного воздействия на психику че-
ловека.
Включает широкий круг задач, направленных как непосредственно
на защиту от технических средств воздействия на психику (психотропно-
го оружия), так и на определение и формирование у человека высокой
стрессоустойчивости, высоких моральных качеств и т. д., позволяющих
противостоять такому воздействия.
Рассмотрев содержание вышеперечисленных классов, можно сделать
вывод, что под задачей защиты информации понимаются организованные
возможности средств, методов и мероприятий, используемых на объекте
обработки информации с целью осуществления функций защиты.
9.4. Функции защиты
Под функцией защиты понимается множество действий, реализаций,
проведение функционально однородных мероприятий, осуществляемых
на объектах обработки конфиденциальной информации различными
средствами, способами и методами с целью обеспечения заданных уров-
ней защищенности информации. Множество функций обеспечения защи-
ты в различных их комбинациях должно создавать условия для обеспече-
ния надежной защиты независимо от условий внешних воздействий,
внутренних неопределенностей систем обработки и защиты информации.
9.5. Состояния и функции системы защиты информации
В зависимости от событий потенциальных воздействий угроз и мер,
снижающих их влияние, система защиты переходит в определенные со-
стояния, соответствующие событиям.
Состояние 1 - защита информации обеспечена, если при наличии ус-
ловий, способствующих появлению угроз, их воздействие на защищае-
мую информацию предотвращено или, ликвидированы последствия тако-
го воздействия.
Состояние 2 - защита информации нарушена, если невозможно пре-
дотвратить воздействие на нее угроз, однако оно обнаружено и локализо-
вано.
241
Основы информационной безопасности
Состояние 3 - защиты информации разрушена, если результаты воз-
действий на нее угроз не только не предотвращены, но и не локализованы.
Множество функций защиты информации определяется следующей
последовательностью действий, обеспечивающей выполнение конечной
цели - достижение требуемого уровня информационной безопасности.
Прежде всего, необходимо попытаться предупредить возникновение ус-
ловий, благоприятствующих появлению угроз информации. Выполнение
этой функции в связи с большим количеством таких угроз и случайным
характером их проявлений имеет вероятность, близкую к нулю. Поэтому
следующим шагом должно быть своевременное обнаружение проявив-
шихся угроз и предупреждение их воздействия на информацию. Если
все-таки такое воздействие произошло, необходимо вовремя его обнару-
жить и локализовать с целью недопущения распространения этого воз-
действия на всю конфиденциальную информацию, обрабатываемую
на объекте. И последней функцией зашиты должна быть ликвидация по-
следствий указанного воздействия для восстановления требуемого со-
стояния безопасности информации. Рассмотрим эти функции несколько
подробнее.
Функция 1 - предупреждение проявления угроз. Реализация этой
функции носит упреждающую цель и должна способствовать такому
архитектурно-функциональному построению современных систем обра-
ботки и зашиты информации, которое обеспечивало бы минимальные
возможности появления дестабилизирующих факторов в различных ус-
ловиях функционирования систем. Например, для предупреждения воз-
можности установки в помещении закладных устройств необходимо
с помощью технических средств и организационных мероприятий обес-
печить невозможность несанкционированного доступа в него.
Функция 2 - обнаружение проявившихся угроз и предупреждение их
воздействия на информацию. Осуществляется комплекс мероприятий,
в результате которых проявившиеся угрозы должны быть обнаружены
до их воздействия на защищаемую информацию, а также обеспечено не-
допущение воздействий этих угроз на защищаемую информацию в усло-
виях их проявления и обнаружения. Так, для нейтрализации закладных
устройств необходимо регулярно проводить специальные проверки по-
мещений, устанавливать системы их автоматического поиска, а ддя пре-
дупреждения их воздействия на конфиденциальную информацию ис-
пользовать устройства защиты типа генераторов объемного зашумления,
позволяющих создавать вокруг устройств обработки информации шумо-
вое поле.
Функция 3 - обнаружение воздействия угроз на защищаемую ин-
формацию и локализация этого воздействия. Содержание функции на-
242
Часть 2. Информационная безопасность автоматизированных систем
правлено на непрерывный контроль средств, комплексов, систем обра-
ботки, защиты информации и различных компонентов защищаемой ин-
формации с целью своевременного обнаружения фактов воздействия на
них угроз. Своевременное обнаружение предполагает обеспечение ре-
альной возможности локализации воздействия на информацию, т. е. ми-
нимизацию возможного нарушения ее целостности и защищенности
и недопущение распространения этого воздействия за пределы допусти-
мых размеров. В компьютерных системах, например, эту функцию реали-
зуют аппаратно-программные средства контроля и регистрации попыток
несанкционированного доступа в систему или к информации (цифровая
подпись).
Функция 4 - ликвидация последствий воздействия угроз. Функция
предусматривает проведение мероприятий защиты в отношении обнару-
женного и локализованного воздействия угроз на информацию, т. е. осу-
ществляется восстановление системы обработки, защиты информации
и состояния защищаемой информации применением соответствующего
множества средств, способов и мероприятий защиты.
От несоблюдения техники
безопасности человек может не только
умереть, но и родиться.
NN
10. Стратегии защиты информации
Стратегия - это общая, рассчитанная на перспективу руководящая
установка при организации и обеспечении соответствующего вида дея-
тельности, направленная на то, чтобы наиболее важные цели этой дея-
тельности достигались при наиболее рациональном расходовании имею-
щихся ресурсов.
Организация защиты информации в самом общем виде может быть
определена как поиск оптимального компромисса между потребностями
в защите и необходимыми для этих целей ресурсами.
Потребности в защите обусловливаются прежде всего важностью
и объемами защищаемой информации, а также условиями ее хранения,
обработки и использования. Эти условия определяются уровнем (качест-
вом) структурно-организационного построения объекта обработки ин-
формации, уровнем организации технологических схем обработки, ме-
стом и условиями расположения объекта и его компонентов и другими
параметрами.
243
Основы информационной безопасности
Размер ресурсов на защиту информации может быть ограничен опре-
деленным пределом либо определяется условием обязательного дости-
жения требуемого уровня защиты. В первом случае защита должна быть
организована так, чтобы при выделенных ресурсах обеспечивался макси-
мально возможный уровень защиты, а во втором - чтобы требуемый уро-
вень защиты обеспечивался при минимальном расходовании ресурсов.
Сформулированные задачи есть не что иное, как прямая и обратная
постановка оптимизационных задач. Существует две проблемы, затруд-
няющие формальное решение.
Первая - процессы защиты информации находятся в значительной
зависимости от большого числа случайных и труднопредсказуемых фак-
торов, таких, как поведение злоумышленника, воздействие природных
явлений, сбои и ошибки в процессе функционирования элементов систе-
мы обработки информации и др.
Вторая - среди средств защиты весьма заметное место занимают ор-
ганизационные меры, связанные с действием человека.
Обоснование числа и содержания необходимых стратегий будем
осуществлять по двум критериям: требуемому уровню защиты и степени
свободы действий при организации защиты. Значения первого критерия
лучше всего выразить множеством тех угроз, относительно которых
должна быть обеспечена защита:
1) от наиболее опасных из известных (ранее появившихся) угроз;
2) ото всех известных угроз;
3) ото всех потенциально возможных угроз.
Второй критерий выбора стратегий защиты сводится к тому, что ор-
ганизаторы и исполнители процессов защиты имеют относительно пол-
ную свободу распоряжения методами и средствами защиты и некоторую
степень свободы вмешательства в архитектурное построение системы
обработки информации, а также в организацию и обеспечение техноло-
гии ее функционирования. По этому аспекту удобно выделить три раз-
личные степени свободы.
1. Никакое вмешательство в систему обработки информации не допус-
кается. Такое требование может быть предъявлено к уже функцио-
нирующим системам обработки информации, и нарушение процесса
их функционирования для установки механизмов защиты не разре-
шается.
2. К архитектурному построению системы обработки информации и
технологии ее функционирования допускается предъявлять требова-
ния неконцептуального характера. Другими словами, допускается
244
4acib 2. Информационная безопасноен> автоматизированных систем
приостановка процесса функционирования системы обработки ин-
формации для установки некоторых механизмов защиты.
3. Требования любого уровня, обусловленные потребностями защиты
информации, принимаются в качестве обязательных условий при по-
строении системы обработки информации, организации и обеспече-
нии их функционирования.
Практически можно выделить три основные стратегии, представлен-
ные в табл. 2.30.
Таблица 2.30. Стратегии защиты информации
Учитываемые угрозы Влияние на системы обработки информации
отсутствует частичное полное
Наиболее опасные Оборонительная стратегия
Все известные Наступательная стратегия
Все потенциально возможные Упреждающая стратегия
Так, выбирая оборонительную стратегию, подразумевают, что при
недопущении вмешательства в процесс функционирования системы об-
работки информации можно нейтрализовать лишь наиболее опасные уг-
розы. Например, данная стратегия, применяемая для существующего
объекта, может включать разработку организационных мер использова-
ния технических средств по ограничению несанкционированного допуска
к объекту. Упреждающая стратегия предполагает тщательное исследова-
ние возможных угроз системы обработки информации и разработку мер
по их нейтрализации еще на стадии проектирования и изготовления сис-
темы. При этом нет смысла на данном этапе рассматривать ограниченное
множество подобных угроз.
11. Способы и средства защиты информации
Множество и разнообразие возможных средств защиты информации
определяется прежде всего возможными способами воздействия на дес-
табилизирующие факторы или порождающие их причины, причем воз-
действия в направлении, способствующем повышению значений показа-
телей защищенности или (по крайней мере) сохранению прежних (ранее
достигнутых) их значений.
245
Основы информационной безопасности
Рассмотрим содержание представленных способов и средств обеспе-
чения безопасности.
Препятствие заключается в создании на пути возникновения или
распространения дестабилизирующего фактора некоторого барьера, не
позволяющего соответствующему фактору принять опасные размеры.
Типичными примерами препятствий являются блокировки, не позво-
ляющие техническому устройству или программе выйти за опасные гра-
ницы; создание физических препятствий на пути злоумышленников, эк-
ранирование помещений и технических средств и т. и.
Управление есть определение на каждом шаге функционирования
систем обработки информации таких управляющих воздействий на эле-
менты системы, следствием которых будет решение (или способствова-
ние решению) одной или нескольких задач защиты информации. Напри-
мер, управление доступом на объект включает следующие функции за-
щиты:
• идентификацию лиц, претендующих на доступ, персонала и ресурсов
системы (присвоение каждому объекту персонального идентифика-
тора);
• опознавание (установление подлинности) объекта или субъекта по
предъявленному идентификатору;
• проверку полномочий (проверка соответствия дня недели, времени
суток, запрашиваемых ресурсов и процедур установленному регла-
менту);
• регистрацию (протоколирование) обращений к защищаемым ресурсам;
• реагирование (сигнализация, отключение, задержка работ, отказ
в процессе) при попытках несанкционированных действий.
Маскировка предполагает такие преобразования информации,
вследствие которых она становится недоступной для злоумышленников
или такой доступ существенно затрудняется, а также комплекс меро-
приятий по уменьшению степени распознавания самого объекта. К мас-
кировке относятся криптографические методы преобразования информа-
ции, скрытие объекта, дезинформация и легендирование, а также меры по
созданию шумовых полей, маскирующих информационные сигналы.
Регламентация как способ защиты информации заключается в раз-
работке и реализации в процессе функционирования объекта комплекса
мероприятий, создающих такие условия, при которых существенно за-
трудняются проявление и воздействие угроз. К регламентации относится
разработка таких правил обращения с конфиденциальной информацией
Часть 2, Информационная безопасность автоматшнроьанных систем
и средствами ее обработки, которые позволили бы максимально затруд-
нить получение этой информации злоумышленником.
Принуждение - такой метод защиты, при котором пользователи
и персонал системы вынуждены соблюдать правила обработки, передачи
и использования защищаемой информации под угрозой материальной,
административной или уголовной ответственности.
Побуждение есть способ защиты информации, при котором пользо-
ватели и персонал объекта внутренне (т. е. материальными, моральными,
этическими, психологическими и другими мотивами) побуждаются к со-
блюдению всех правил обработки информации.
Как отдельный, применяемый при ведении активных действий про-
тивоборствующими сторонами можно выделить такой способ, как напа-
дение. При этом подразумевается как применение информационного
оружия при ведении информационной войны, так и непосредственное
физическое уничтожение противника (при ведении боевых действий) или
его средств разведки.
Рассмотренные способы обеспечения зашиты информации реализу-
ются с применением различных методов и средств. При этом различают
формальные и неформальные средства. К формальным относятся такие
средства, которые выполняют свои функции по защите информации
формально, т. е. преимущественно без участия человека. К неформаль-
ным относятся средства, основу которых составляет целенаправленная
деятельность людей. Формальные средства делятся на физические, аппа-
ратные и программные.
Физические средства - механические, электрические, электромеха-
нические и т. и. устройства и системы, которые функционируют авто-
номно, создавая различного рода препятствия на пути дестабилизирую-
щих факторов.
Аппаратные средства - различные электронные и электронно-
механические и т. и. устройства, схемно встраиваемые в аппаратуру сис-
темы обработки данных или сопрягаемые с ней специально для решения
задач защиты информации. Например, для защиты от утечки по техниче-
ским каналам используются генераторы шума.
Физические и аппаратные средства объединяются в класс техниче-
ских средств защиты информации.
Программные средства - специальные пакеты программ или от-
дельные программы, включаемые в состав программного обеспечения ав-
томатизированных систем с целью решении задач защиты информации.
Это могут быть различные программы по криптографическому преобра-
зованию данных, контролю доступа, защиты от вирусов и др.
247
Основы информационной безопасности
Неформальные средства делятся на организационные, законода-
тельные и морально-этические.
Организационные средства - специально предусматриваемые
в технологии функционирования объекта организационно-технические
мероприятия для решения задач защиты информации, осуществляемые
в виде целенаправленной деятельности людей.
Законодательные средства - существующие в стране или специаль-
но издаваемые нормативно-правовые акты, с помощью которых регла-
ментируются права и обязанности, связанные с обеспечением зашиты
информации, всех лиц и подразделений, имеющих отношение к функ-
ционированию системы, а также устанавливается ответственность за на-
рушение правил обработки информации, следствием чего может быть
нарушение защищенности информации.
Морально-этические нормы - сложившиеся в обществе или данном
коллективе моральные нормы или этические правила, соблюдение кото-
рых способствует защите информации, а нарушение их приравнивается
к несоблюдению правил поведения в обществе или коллективе. Именно
человек, сотрудник предприятия или учреждения, допущенный к секре-
там и накапливающий в своей памяти колоссальные объемы информа-
ции, в том числе секретной, нередко становится источником утечки этой
информации или по его вине соперник получает возможность несанкцио-
нированного доступа к носителям защищаемой информации.
Морально-нравственные методы защиты информации предполагают
прежде всего воспитание сотрудника, допущенного к секретам, т. е. про-
ведение специальной работы, направленной на формирование у него сис-
темы определенных качеств, взглядов и убеждений (патриотизма, пони-
мания важности и полезности защиты информации и для него лично)
и обучение сотрудника, осведомленного в сведениях, составляющих
охраняемую тайну, правилам и методам защиты информации, привитие
ему навыков работы с носителями секретной и конфиденциальной ин-
формации.
Интересный подход к формированию множества способов зашиты
предлагает член-корреспондент Академии криптографии С. П. Расторгу-
ев. В основу названной им «абсолютной системы защиты», обладающей
всеми возможными способами защиты, положены основные принципы
защиты, реализуемые в живой природе. Развивая этот подход, можно вы-
делить следующие основные способы защиты животного мира в сравне-
нии с рассмотренными способами защиты информации.
1. Пассивная защита. Перекрывает все возможные каналы воздействия
угроз и предполагает «надевание брони» на себя и создание терри-
248
Часть 2. Информационная безопасность автоматизированных систем
ториальных препятствий. Налицо полное соответствие такому спо-
собу защиты информации, как препятствие.
2. Изменение местоположения. Желание спрятаться можно соотнести
с таким способом, как сокрытие.
3. Изменение собственной внешности, мимикрия - слияние с ландшаф-
том и т. п. Цель - представиться объектом неинтересным или неза-
метным для нападающей стороны. Аналогичную функцию защиты
информации реализуют ее маскировкой.
4. Нападение с целью уничтожения нападающего. Выше был рассмот-
рен соответствующий способ защиты информации.
5. Воспитание навыков безопасности у потомства, доведение этих на-
выков до уровня инстинкта. Для систем защиты информации анало-
гичные навыки у обслуживающего персонала формируются прину-
ждением и побуждением.
6. Выработка определенных правил жизнедеятельности, способствую-
щих выживанию и сохранению рода. К таким правилам, выработан-
ным природой, можно отнести мирное существование особей одного
вида, жизнь в стаях (стадах) и т. д. Другими словами, природа рег-
ламентирует необходимые ддя безопасности правила жизни.
Таким образом, анализ присущих животному миру защитных
свойств, положенный в основу так называемой «абсолютной системы за-
щиты», показывает, что все они соответствует рассмотренным способам
защиты информации, что подтверждает полноту их формирования.
Продам таблицу умножения без чисел.
Объявление
12. Криптографические методы
защиты информации
Проблема защиты информации путем ее преобразования, исключаю-
щего ее прочтение посторонним лицом, волновала человеческий ум
с давних времен. История криптографии - ровесница истории человече-
ского языка. Более того, первоначально письменность сама по себе была
криптографической системой, так как в древних обществах ею владели
только избранные. Священные книги Древнего Египта, Древней Индии
тому примеры.
Разные люди понимают под шифрованием разные вещи. Дети играют
в игрушечные шифры и секретные языки. Это, однако, не имеет ничего
249
Основы информационной безопасности
общего с настоящей криптографией. Настоящая криптография (strong
cryptography) должна обеспечивать такой уровень секретности, чтобы
можно было надежно защитить критическую информацию от расшиф-
ровки крупными организациями - такими, как мафия, транснациональ-
ные корпорации и крупные государства. Настоящая криптография в про-
шлом использовалась лишь в военных целях. Однако сейчас, со станов-
лением информационного общества, она становится центральным
инструментом для обеспечения конфиденциальности.
По мере образования информационного общества крупным государ-
ствам становятся доступны технологические средства тотального надзора
за миллионами людей. Поэтому криптография становится одним из ос-
новных инструментов, обеспечивающих конфиденциальность, доверие,
авторизацию, электронные платежи, корпоративную безопасность и бес-
численное множество других важных вещей.
Криптография не является более придумкой военных, с которой
не стоит связываться. Настала пора снять с криптографии покровы таин-
ственности и использовать все ее возможности на пользу современному
обществу. Широкое распространение криптографии является одним
из немногих способов защитить человека от ситуации, когда он вдруг об-
наруживает, что живет в тоталитарном государстве, которое может
контролировать каждый его шаг.
Бурное развитие криптографические системы получили в годы пер-
вой и второй мировых войн. Начиная с послевоенного времени и по ны-
нешний день появление вычислительных средств ускорило разработку
и совершенствование криптографических методов.
Почему проблема использования криптографических методов в ИС
стала в настоящий момент особо актуальна?
С одной стороны, расширилось использование компьютерных сетей,
в частности глобальной сети Интернет, по которым передаются большие
объемы информации государственного, военного, коммерческого и част-
ного характера, не допускающего возможность доступа к ней посторон-
них лиц.
С другой стороны, появление новых мощных компьютеров, техноло-
гий сетевых и нейронных вычислений сделало возможным дискредита-
цию криптографических систем, еще недавно считавшихся практически
нераскрываемыми.
Проблемой защиты информации путем ее преобразования занимается
криптология (kryptos - тайный, logos - наука). Криптология разделяется
на два направления - криптографию и криптоанализ. Цели этих направ-
лений прямо противоположны.
250
Часть 2. Информационная безопасность автоматизированных систем
Криптография занимается поиском и исследованием математических
методов преобразования информации.
Сфера интересов криптоанализа - исследование возможности рас-
шифровывания информации без знания ключей.
Современная криптография включает в себя 4 крупных раздела.
1. Симметричные криптосистемы.
2. Криптосистемы с открытым ключом.
3. Системы электронной подписи.
4. Управление ключами.
Основные направления использования криптографических методов -
передача конфиденциальной информации по каналам связи (например,
электронная почта), установление подлинности передаваемых сообще-
ний, хранение информации (документов, баз данных) на носителях в за-
шифрованном виде.
Терминология. Итак, криптография дает возможность преобразовать
информацию таким образом, что ее прочтение (восстановление) возмож-
но только при знании ключа.
В качестве информации, подлежащей шифрованию и дешифрованию,
будут рассматриваться тексты, построенные на некотором алфавите. Под
этими терминами понимается следующее.
Алфавит - конечное множество используемых для кодирования ин-
формации знаков.
Текст - упорядоченный набор из элементов алфавита.
В качестве примеров алфавитов, используемых в современных ИС,
можно привести следующие:
• алфавит Z33 - 32 буквы русского алфавита и пробел;
• алфавит Z256 - символы, входящие в стандартные коды ASCII
и КОИ-8;
• бинарный алфавит - Z2 = {0,1};
• восьмеричный алфавит или шестнадцатеричный алфавит.
Шифрование - преобразовательный процесс: исходный текст, кото-
рый носит также название открытого текста, заменяется шифрованным
текстом.
Дешифрование - обратный шифрованию процесс. На основе ключа
шифрованный текст преобразуется в исходный.
Ключ - информация, необходимая для беспрепятственного шифрова-
ния и дешифрования текстов.
251
Основы информационной безопасности
Криптографическая система представляет собой семейство Т [Т1,
Т2, ..., Тк] преобразований открытого текста. Члены этого семейства ин-
дексируются, или обозначаются символом к; параметр к является клю-
чом. Пространство ключей К - это набор возможных значений ключа.
Обычно ключ представляет собой последовательный ряд букв алфавита.
Криптосистемы разделяются на симметричные и с открытым ключом.
В симметричных криптосистемах и для шифрования, и для дешиф-
рования используется один и тот же ключ.
В системах с открытым ключом используются два ключа - откры-
тый и закрытый, которые математически связаны друг с другом. Инфор-
мация шифруется с помощью открытого ключа, который доступен всем
желающим, а расшифровывается с помощью закрытого ключа, известно-
го только получателю сообщения [29].
Термины распределение ключей и управление ключами относятся
к процессам системы обработки информации, содержанием которых яв-
ляется составление и распределение ключей между пользователями.
Электронной (цифровой) подписью называется присоединяемое
к тексту его криптографическое преобразование, которое позволяет при
получении текста другим пользователем проверить авторство и подлин-
ность сообщения.
Криптостойкостью называется характеристика шифра, определяю-
щая его стойкость к дешифрованию без знания ключа (т. е. криптоанали-
зу). Имеется несколько показателей криптостойкости, среди которых:
• количество всех возможных ключей;
• среднее время, необходимое для криптоанализа.
Преобразование Тк определяется соответствующим алгоритмом
и значением параметра к. ЭФФЕКТИВНОСТЬ шифрования с целью за-
щиты информации зависит от сохранения тайны ключа и криптостойко-
сти шифра.
12.1. Требования к криптосистемам
Процесс криптографического закрытия данных может осуществлять-
ся как программно, так и аппаратно. Аппаратная реализация отличается
существенно большей стоимостью, однако ей присущи и преимущества:
высокая производительность, простота, защищенность и т. д. Программ-
ная реализация более практична, допускает известную гибкость в исполь-
зовании.
Для современных криптографических систем защиты информации
сформулированы следующие общепринятые требования:
252
Часть 2. Информационная безопасность автоматизированных систем
• зашифрованное сообщение должно поддаваться чтению только при
наличии ключа;
• число операций, необходимых для определения использованного
ключа шифрования по фрагменту шифрованного сообщения и соот-
ветствующего ему открытого текста, должно быть не меньше общего
числа возможных ключей;
• число операций, необходимых для расшифровывания информации
путем перебора всевозможных ключей, должно иметь строгую ниж-
нюю оценку и выходить за пределы возможностей современных
компьютеров (с учетом возможности использования сетевых вычис-
лений);
• знание алгоритма шифрования не должно влиять на надежность за-
щиты;
• незначительное изменение ключа должно приводить к существенно-
му изменению вида зашифрованного сообщения даже при использо-
вании одного и того же ключа;
• структурные элементы алгоритма шифрования должны быть неиз-
менными;
• дополнительные биты, вводимые в сообщение в процессе шифрова-
ния, должен быть полностью и надежно скрыты в шифрованном тексте;
• длина шифрованного текста должна быть равной длине исходного
текста;
• не должно быть простых и легко устанавливаемых зависимостей ме-
жду ключами, последовательно используемыми в процессе шифро-
вания;
• любой ключ из множества возможных должен обеспечивать надеж-
ную защиту информации;
• алгоритм должен допускать как программную, так и аппаратную
реализацию, при этом изменение длины ключа не должно вести к ка-
чественному ухудшению алгоритма шифрования.
12.2. Основные алгоритмы шифрования
Метод шифровки-дешифровки называют шифром (cipher). Некото-
рые алгоритмы шифрования основаны на том, что сам метод шифрования
(алгоритм) является секретным. Ныне такие методы представляют лишь
исторический интерес и не имеют практического значения. Все совре-
менные алгоритмы используют ключ для управления шифровкой и де-
253
Основы информационной безопасности
шифровкой; сообщение может быть успешно дешифровано, только если
известен ключ. Ключ, используемый для дешифровки, может не совпа-
дать с ключом, используемым для шифрования, однако в большинстве
алгоритмов ключи совпадают.
Алгоритмы с использованием ключа делятся на два класса: симмет-
ричные (или алгоритмы с секретным ключом) и асимметричные (или ал-
горитмы с открытым ключом). Разница в том, что симметричные алго-
ритмы используют один и тот же ключ для шифрования и для дешифро-
вания (или же ключ для дешифровки просто вычисляется по ключу
шифровки). В то время как асимметричные алгоритмы используют раз-
ные ключи и ключ для дешифровки не может быть вычислен по ключу
шифровки.
Симметричные алгоритмы подразделяют на потоковые шифры
и блочные шифры. Потоковые позволяют шифровать информацию поби-
тово, в то время как блочные работают с некоторым набором битов дан-
ных (обычно размер блока составляет 64 бита) и шифруют этот набор как
единое целое.
Асимметричные шифры (также именуемые алгоритмами с открытым
ключом или - в более общем плане - криптографией с открытым клю-
чом) допускают, чтобы открытый ключ был доступен всем (скажем,
опубликован в газете). Это позволяет любому зашифровать сообщение.
Однако расшифровать это сообщение сможет только нужный человек
(тот, кто владеет ключом дешифровки). Ключ для шифрования называют
открытым ключом, а ключ для дешифрования - закрытым ключом или
секретным ключом.
Современные алгоритмы шифровки-дешифровки достаточно сложны
и их невозможно проводить вручную. Настоящие криптографические ал-
горитмы разработаны для использования компьютерами или специаль-
ными аппаратными устройствами. В большинстве приложений крипто-
графия производится программным обеспечением и имеется множество
доступных криптографических пакетов.
Вообще говоря, симметричные алгоритмы работают быстрее, чем
асимметричные. На практике оба типа алгоритмов часто используются
вместе: алгоритм с открытым ключом используется для того, чтобы пе-
редать случайным образом сгенерированный секретный ключ, который
затем используется для дешифровки сообщения.
Многие качественные криптографические алгоритмы доступны ши-
роко - в книжном магазине, библиотеке, патентном бюро или в Интерне-
те. К широко известным симметричным алгоритмам относятся DES
и IDEA, Наверное самым лучшим асимметричным алгоритмом является
RSA. В России за стандарт шифрования принят ГОСТ 28147-89.
254
Часть 2. Информационная безопасность автоматизированных систем
В табл. 2.31 приведена классификация криптографического закрытия
информации.
Таблица 2.31. Криптографическое закрытие информации
Виды преобра- зовании Способы преобразований Разновидности способа Способ реализации
Шифрование Замена (подстановка) Простая (одноалфавитная) п
Многоалфавитная однокон- турная ооыкновенная п
Многоалфавитная однокон- турная монофоническая п
Многоалфавитная многокон- турная п
Перестановка Простая п
Усложненная по таблице п
Усложненная по маршрутам п
Аналитическое преобразование По правилам алгебры матриц п
По особым зависимостям п
Гаммирование С конечной короткой гаммой АП
С конечной длиной гаммой АП
С бесконечной гаммой АП
Комбиниро- ванные Замена+перестановка АП
Замена+гаммирование АП
Перестановка+ гаммирование АП
Гаммирование+гаммирование АП
Кодирование Смысловое По специальным таблицам (словарям) П
Символьное По кодовому алфавиту П
Другие виды Рассечение- разнесение Смысловое АП
Механическое П
Сжатие- расширение
Примечание. А - аппаратный; П - программный.
12.3. Цифровые подписи
Некоторые из асимметричных алгоритмов могут использоваться для
генерирования цифровой подписи. Цифровой подписью называют блок
данных, сгенерированный с использованием некоторого секретного клю-
255
Основы информационной безопасности
ча. При этом с помощью открытого ключа можно проверить, что данные
были действительно сгенерированы с помощью этого секретного ключа.
Алгоритм генерации цифровой подписи должен обеспечивать, невоз-
можность без секретного ключа создать подпись, которая при проверке
окажется правильной.
Цифровые подписи используются для того, чтобы подтвердить, что
сообщение пришло действительно от данного отправителя (в предполо-
жении, что лишь отправитель обладает секретным ключом, соответст-
вующим его открытому ключу). Также подписи используются для про-
ставления штампа времени (timestamp) на документах: сторона, которой
мы доверяем, подписывает документ со штампом времени с помощью
своего секретного ключа и, таким образом, подтверждает, что документ
уже существовал в момент, объявленный в штампе времени.
Цифровые подписи также можно использовать для удостоверения
(сертификации - to certify) того, что документ принадлежит определен-
ному лицу. Это делается так: открытый ключ и информация о том, кому
он принадлежит, подписываются стороной, которой доверяем. При этом
доверять подписывающей стороне мы можем на основании того, что ее
ключ был подписан третьей стороной. Таким образом возникает иерар-
хия доверия. Очевидно, что некоторый ключ должен быть корнем иерар-
хии (т. е. ему мы доверяем не потому, что он кем-то подписан, а потому,
что мы верим априори, что ему можно доверять). В централизованной
инфраструктуре ключей имеется очень небольшое количество корневых
ключей сети (например, облеченные полномочиями государственные
агентства; их также называют сертификационными агентствами -
certification authorities). В распределенной инфраструктуре нет необхо-
димости иметь универсальные для всех корневые ключи, и каждая из
сторон может доверять своему набору корневых ключей (скажем, своему
собственному ключу и ключам, им подписанным). Эта концепция носит
название сети доверия (web of trust) и реализована, например, в PGP.
Цифровая подпись документа обычно создается так: из документа ге-
нерируется так называемый дайджест (message digest) и к нему добавля-
ется информация о том, кто подписывает документ, штамп времени и пр.
Получившаяся строка далее зашифровывается секретным ключом подпи-
сывающего с использованием того или иного алгоритма. Получившийся
зашифрованный набор битов и представляет собой подпись. К подписи
обычно прикладывается открытый ключ подписывающего. Получатель
сначала решает для себя, доверяет ли он тому, что открытый ключ при-
надлежит именно тому, кому должен принадлежать (с помощью сети до-
верия или априорного знания), и затем дешифрует подпись с помощью
открытого ключа. Если подпись нормально дешифровалась и ее содер-
256
Часть 2. Информационная безопасность автоматизированных систем
жимое соответствует документу (дайджест и др.), то сообщение считает-
ся подтвержденным.
Свободно доступны несколько методов создания и проверки цифровых
подписей. Наиболее известным является алгоритм RSA, ГОСТ 34.10-94.
12.4. Криптографические хеш-функции
Криптографические хеш-функции используются обычно для генера-
ции дайджеста сообщения при создании цифровой подписи. Хеш-
функции преобразовывают сообщение в имеющее фиксированный раз-
мер хеш-значение (hash value) таким образом, что все множество возмож-
ных сообщений распределяется равномерно по множеству хеш-значений.
При этом криптографическая хеш-функция делает это так, что практиче-
ски невозможно подогнать документ к заданному хеш-значению.
Криптографические хеш-функции обычно производят значения дли-
ной в 128 и более бит. Эго число значительно больше, чем количество
сообщений, которые когда-либо будут существовать в мире.
Много хороших криптографических хеш-функций доступно бесплат-
но. Широко известные включают MD5 и SHA.
12.5. Криптографические генераторы случайных чисел
Криптографические генераторы случайных чисел производят слу-
чайные числа, которые используются в криптографических приложениях,
например для генерации ключей. Обычные генераторы случайных чисел,
имеющиеся во многих языках программирования и программных средах,
не подходят для нужд криптографии (они создавались с целью получить
статистически случайное распределение, криптоаналитики могут пред-
сказать поведение таких случайных генераторов).
В идеале случайные числа должны основываться на настоящем физи-
ческом источнике случайной информации, которую невозможно предска-
зать. Примеры таких источников включают шумящие полупроводнико-
вые приборы, младшие биты оцифрованного звука, интервалы между
прерываниями устройств или нажатиями клавиш. Полученный от физи-
ческого источника шум затем «дистиллируется» криптографической хеш-
функцией так, чтобы каждый бит зависел от каждого бита. Достаточно
часто для хранения случайной информации используется довольно боль-
шой пул (несколько тысяч бит) и каждый бит пула делается зависимым
от каждого бита шумовой информации и каждого другого бита пула
криптографически надежным (strong) способом.
157
Основы информационной безопасности
Когда нет настоящего физического источника шума, приходится
пользоваться псевдослучайными числами. Такая ситуация нежелательна,
но часто возникает на компьютерах общего назначения. Всегда нужно
получить некий шум окружения, скажем от величины задержек в устрой-
ствах, цифры статистики использования ресурсов, сетевой статистики,
прерываний от клавиатуры или чего-то иного. Задачей является получить
данные, непредсказуемые для внешнего наблюдателя. Для достижения
этого случайный пул должен содержать как минимум 128 бит настоящей
энтропии.
Криптографические генераторы псевдослучайных чисел обычно ис-
пользуют большой пул (seed-значение), содержащий случайную инфор-
мацию. Биты генерируется путем выборки из пула с возможным прого-
ном через криптографическую хеш-функцию, чтобы спрятать содержи-
мое пула от внешнего наблюдателя. Когда требуется новая порция битов,
пул перемешивается путем шифровки со случайным ключом (его можно
взять из неиспользованной пока части пула) так, чтобы каждый бит пула
зависел от каждого другого бита. Новый шум окружения должен добав-
ляться к пулу перед перемешиваниям, дабы сделать предсказание новых
значений пула еще более сложным.
Несмотря на то что при аккуратном проектировании криптографиче-
ски надежный генератор случайных чисел реализовать не так уж и труд-
но, этот вопрос часто упускают из виду. Таким образом, следует под-
черкнуть важность криптографического генератора случайных чисел -
если он сделан плохо, он может легко стать самым уязвимым элементом
системы.
12.6. Обеспечиваемая шифром степень защиты
Хорошие криптографические системы создаются таким образом,
чтобы сделать их вскрытие как можно более трудным делом. Можно по-
строить системы, которые на практике невозможно вскрыть (хотя дока-
зать сей факт обычно нельзя). При этом не требуется очень больших уси-
лий для реализации. Единственное, что требуется, - это аккуратность
и базовые знания. Нет прощения разработчику, если он оставил возмож-
ность для вскрытия системы. Все механизмы, которые могут использо-
ваться для взлома системы, надо задокументировать и довести до сведе-
ния конечных пользователей.
Теоретически любой шифровальный алгоритм с использованием
ключа может быть вскрыт методом перебора всех значений ключа. Если
ключ подбирается методом грубой силы (brute force), требуемая мощ-
ность компьютера растет экспоненциально с увеличением длины ключа.
Часть 2. Информационная безопасность автоматизированных систем
Ключ длиной 32 бита требует 232 (около 109) шагов. Такая задача под
силу любому дилетанту и решается на домашнем компьютере. Системы с
40-битовым ключом (например, экспортный американский вариант алго-
ритма RC4) требуют 240 шагов - такие компьютерные мощности имеют-
ся в большинстве университетов и даже в небольших компаниях. Систе-
мы с 56-битовыми ключами (DES) требуют для вскрытия заметных уси-
лий, однако могут быть легко вскрыты с помощью специальной
аппаратуры. Стоимость такой аппаратуры значительна, но доступна для
мафии, крупных компаний и правительств. Ключи длиной 64 бита в на-
стоящий момент, возможно, могут быть вскрыты крупными государства-
ми и уже в ближайшие несколько лет будут доступны для вскрытия пре-
ступными организациями, крупными компаниями и небольшими госу-
дарствами. Ключи длиной 80 бит могут в будущем стать уязвимыми.
Ключи длиной 128 бит, вероятно, останутся недоступными для вскрытия,
методом грубой силы в обозримом будущем. Можно использовать и бо-
лее длинные ключи. В пределе нетрудно добиться того, чтобы энергия,
требуемая для вскрытия (считая, что на один шаг затрачивается мини-
мальный квантовомеханический квант энергии), превзойдет массу Солн-
ца или Вселенной.
Однако длина ключа это еще не все. Многие шифры можно вскрыть
и не перебирая всех возможных комбинаций. Вообще говоря, очень
трудно придумать шифр, который нельзя было бы вскрыть другим более
эффективным способом. Разработка собственных шифров может стать
приятным занятием, но для реальных приложений использовать само-
дельные шифры не рекомендуется, если вы не являетесь экспертом
и не уверены на 100 % в том, что делаете.
Вообще говоря, следует держаться в стороне от неопубликованных
или секретных алгоритмов. Часто разработчик такого алгоритма не уве-
рен в его надежности или же надежность зависит от секретности самого
алгоритма. Вообще говоря, ни один алгоритм, секретность которого зави-
сит от секретности самого алгоритма, не является надежным. В частно-
сти, имея шифрующую программу, можно нанять программиста, который
дизассемблирует ее и восстановит алгоритм методом обратной инжене-
рии. Опыт показывает, что большинство секретных алгоритмов, ставших
впоследствии достоянием общественности, оказались до смешного нена-
дежными.
Длины ключей, используемых в криптографии с открытым ключом,
обычно значительно больше, чем в симметричных алгоритма. Здесь
проблема заключается не в подборе ключа, а в воссоздании секретного
ключа по открытому. В случае RSA проблема эквивалентна разложению
на множители большого целого числа, которое является произведением
Основы информационной безопасности
пары неизвестных простых чисел. В случае некоторых других криптоси-
стем проблема эквивалентна вычислению дискретного логарифма по мо-
дулю большого целого числа (такая задача считается примерно анало-
гичной по трудности задаче разложения на множители). Имеются крип-
тосистемы, которые используют другие проблемы.
Чтобы дать представление о степени сложности вскрытия RSA, ска-
жем, что модули длиной 256 бит легко факторизуются обычными про-
граммистами. Ключи в 384 бита могут быть вскрыты исследовательской
группой университета или компании; 512-битовые ключи находятся
в пределах досягаемости крупных государств. Ключи длиной 768 бит, ве-
роятно, не будут надежны продолжительное время. Ключи длиной
1024 бита могут считаться безопасными до тех пор, пока не будет суще-
ственного прогресса в алгоритме факторизации; ключи длиной 2048 бит
большинство считает надежными на десятилетия. Более подробную ин-
формацию о длинах ключей RSA можно почерпнуть из статьи [35].
Важно подчеркнуть, что степень надежности криптографической
системы определяется ее слабейшим звеном. Нельзя упускать из виду
ни одного аспекта разработки системы - от выбора алгоритма до полити-
ки использования и распространения ключей.
12.7. Криптоанализ и атаки на криптосистемы
Криптоанализ - это наука о дешифровке закодированных сообще-
ний не зная ключей. Имеется много криптоаналитических подходов. Не-
которые из наиболее важных для разработчиков приведены ниже.
Атака со знанием лишь шифрованного текста (ciphertext-only
attack). Это ситуация, когда атакующий не знает ничего о содержании
сообщения и ему приходится работать лишь с самим шифрованным тек-
стом. На практике часто можно сделать правдоподобные предположения
о структуре текста, поскольку многие сообщения имеют стандартные за-
головки. Даже обычные письма и документы начинаются с легко пред-
сказуемой информации. Также часто можно предположить, что некото-
рый блок информации содержит заданное слово.
Атака со знанием содержимого шифровки (known-plaintext
attack). Атакующий знает или может угадать содержимое всего или час-
ти зашифрованного текста. Задача заключается в расшифровке остально-
го сообщения. Это можно сделать либо путем вычисления ключа шиф-
ровки, либо минуя это.
Атака с заданным текстом (chosen-plaintext attack). Атакующий
имеет возможнот получить шифрованный документ для любого нужного
ему текста, но не знает ключа. Задачей является нахождение ключа. Не-
2бд
Часть 2. Информационная безопасность автоматизированных систем
которые методы шифрования, и в частности RSA, весьма уязвимы для
атак этого типа. При использовании таких алгоритмов надо тщательно
следить, чтобы атакующий не мог зашифровать заданный им текст.
Атака с подставкой (Man-in-the-middle attack). Атака направлена
на обмен шифрованными сообщениями и в особенности на протокол об-
мена ключами. Идея заключается в том, что, когда две стороны обмени-
ваются ключами для секретной коммуникации (например, используя
шифр Диффи-Хелмана, Diffie-Hellman), противник внедряется между
ними на линии обмена сообщениями. Далее противник выдает каждой
стороне свои ключи. В результате, каждая из сторон будет иметь разные
ключи, каждый из которых известен противнику. Теперь противник бу-
дет расшифровывать каждое сообщение своим ключом и затем зашифро-
вывать его с помощью другого ключа перед отправкой адресату. Сторо-
ны будут иметь иллюзию секретной переписки, в то время как на самом
деле противник читает все сообщения.
Одним из способов предотвратить такой тип атак заключается в том,
что стороны при обмене ключами вычисляют криптографическую хеш-
функцию значения протокола обмена (или по меньшей мере значения
ключей), подписывают ее алгоритмом цифровой подписи и посылают
подпись другой стороне. Получатель проверит подпись и то, что значе-
ние хеш-функции совпадает с вычисленным значением. Такой метод ис-
пользуется, в частности, в системе Фотурис (Photuris).
Атака с помощью таймера (timing attack). Этот новый тип атак ос-
нован на последовательном измерении времен, затрачиваемых на выпол-
нение операции возведения в стенень по модулю целого числа. Ей под-
вержены по крайней мере следующие шифры: RSA, Диффи-Хеллман
и метод эллиптических кривых.
Имеется множество других криптографических атак и криптоанали-
тических подходов. Однако приведенные выше являются, по-видимому,
наиболее важными для практической разработки систем. Если кто-либо
собирается создавать свой алгоритм шифрования, ему необходимо пони-
мать данные вопросы значительно глубже.
Выбор для конкретных ИС должен быть основан на глубоком анализе
слабых и сильных сторон тех или иных методов защиты. Обоснованный
выбор той или иной системы защиты, в общем-то, должен опираться на
какие-то критерии эффективности. К сожалению, до сих пор не разрабо-
таны подходящие методики оценки эффективности криптографических
систем.
Наиболее простой критерий такой эффективности - вероятность рас-
крытия ключа или мощность множества ключей (М). По сути, это то же
261
Основы информационной безопасности
самое, что и криптостойкость. Для ее численной оценки можно использо-
вать также и сложность раскрытия шифра путем перебора всех ключей.
Однако этот критерий не учитывает других важных требований
к криптосистемам:
• невозможность раскрытия или осмысленной модификации информа-
ции на основе анализа ее структуры;
• совершенство используемых протоколов защиты;
• минимальный объем применяемой ключевой информации;
• минимальная сложность реализации (в количестве машинных опера-
ций), ее стоимость;
• высокая оперативность.
Желательно, конечно, использование некоторых интегральных пока-
зателей, учитывающих указанные факторы.
Для учета стоимости, трудоемкости и объема ключевой информации
можно использовать удельные показатели - отношение указанных пара-
метров к мощности множества ключей шифра.
Часто более эффективным при выборе и оценке криптографической
системы является применение экспертных оценок и имитационное моде-
лирование.
В любом случае выбранный комплекс криптографических методов
должен сочетать как удобство, гибкость и оперативность использования,
так и надежную защиту от злоумышленников циркулирующей в ИС ин-
формации.
Осмельтесь мыслить самостоятельно!
Вольтер
13. Архитектура систем защиты информации
13.1. Требования к архитектуре СЗИ
Система защиты информации (СЗИ) в самом общем виде может
быть определена как организованная совокупность всех средств, методов
и мероприятий, выделяемых (предусматриваемых) на объекте обработки
информации (ООИ) для решения в ней выбранных задач защиты.
Введением понятия СЗИ определяется тот факт, что все ресурсы, вы-
деляемые для защиты информации, должны объединяться в единую, це-
262
Часть 2. Информационная безопасность автоматизированных систем
лостную систему, которая является функционально самостоятельной
подсистемой любого ООИ.
Важнейшим концептуальным требованием к СЗИ является требова-
ние адаптируемости, т. е. способности к целенаправленному приспособ-
лению при изменении структуры, технологических схем или условий
функционирования ООИ. Важность требования адаптируемости обу-
словливается, с одной стороны, тем, что перечисленные факторы могут
существенно изменяться, а с другой - тем, что процессы защиты инфор-
мации относятся к слабоструктурированным, т. е. имеющим высокий
уровень неопределенности. Управление же слабоструктурированными
процессами может быть эффективным лишь при условии адаптируемости
системы управления.
Помимо общего концептуального требования, к СЗИ предъявляется
еще целый ряд более конкретных, целевых требований, которые могут
быть разделены на:
• функциональные;
• эргономические;
• экономические;
• технические;
• организационные.
Сформированная к настоящему времени система включает следую-
щий перечень общеметодологических принципов:
• концептуальное единство;
• адекватность требованиям;
• гибкость (адаптируемость);
• функциональная самостоятельность;
• удобство использования;
• минимизация предоставляемых прав;
• полнота контроля;
• адекватность реагирования;
• экономичность.
Концептуальное единство означает, что архитектура, технология, ор-
ганизация и обеспечение функционирования как СЗИ в целом, так и со-
ставных компонентов должны рассматриваться и реализовываться
Основы информационной безопасности
в строгом соответствии с основными положениями единой концепции
защиты информации.
Адекватность требованиям означает, что СЗИ должна строиться
в строгом соответствии с требованиями к защите, которые, в свою оче-
редь, определяются категорией соответствующего объекта и значениями
параметров, влияющих на защиту информации.
Гибкость (адаптируемость) системы защиты означает такое по-
строение и такую организацию ее функционирования, при которых
функции защиты осуществлялись бы достаточно эффективно при изме-
нении в некотором диапазоне структуры объекта обработки информации,
технологических схем или условий функционирования каких-либо ее
компонентов.
Функциональная самостоятельность предполагает, что СЗИ должна
быть самостоятельной обеспечивающей подсистемой системы обработки
информации и при осуществлении функций защиты не должна зависеть
от других подсистем.
Удобство использования означает, что СЗИ не должна создавать до-
полнительных неудобств для пользователей и персонала объекта обра-
ботки информации.
Минимизация предоставляемых прав означает, что каждому пользо-
вателю и каждому лицу из состава персонала объекта обработки инфор-
мации должны предоставляться лишь те полномочия на доступ к ресур-
сам объекта обработки информации и находящейся в ней информации,
которые ему действительно необходимы для выполнения своих функций
в процессе автоматизированной обработки информации. При этом пре-
доставляемые права должны быть определены и установленным поряд-
ком утверждены заблаговременно.
Полнота контроля предполагает, что все процедуры автоматизиро-
ванной обработки защищаемой информации должны контролироваться
системой защиты в полном объеме, причем основные результаты контро-
ля должны фиксироваться в специальных регистрационных журналах.
Активность реагирования означает, что СЗИ должна реагировать на
любые попытки несанкционированных действий. Характер реагирования
может быть различным и включает: просьбу повторить действие; отклю-
чение структурного элемента, с которого осуществлено несанкциониро-
ванное действие; исключение нарушителя из числа зарегистрированных
пользователей; подача специального сигнала и др.
Экономичность СЗИ означает, что при условии соблюдения основ-
ных требований всех предыдущих принципов расходы на СЗИ должны
быть минимальными.
ами!
Часть 2. Информационная безопасность автоматизированных систем
13.2. Построение СЗИ
Функциональным построением любой системы называется организо-
ванная совокупность тех функций, для регулярного осуществления кото-
рых она создается.
Под организационным построением понимается общая организация
системы, адекватно отражающая концептуальные подходы к ее созда-
нию. Организационно СЗИ состоит из трех механизмов:
• обеспечения защиты информации;
• управления механизмами защиты;
• общей организации работы системы.
В механизмах обеспечения защиты выделяются два организационных
компонента: постоянные и переменные. При этом под постоянными
понимаются такие механизмы, которые встраиваются в компоненты объ-
екта обработки информации в процессе создания СЗИ и находятся в ра-
бочем состоянии в течение всего времени функционирования соответст-
вующих компонентов. Переменные же механизмы являются автономны-
ми, использование их для решения задач защиты информации
предполагает предварительное осуществление операций ввода в состав
используемых механизмов. Встроенные и переменные механизмы могут
иметь в своем составе технические, программные и организационные
средства обеспечения защиты.
Соответственно составу механизмов обеспечения защиты информа-
ции, очевидно, должны быть организованы механизмы управления ими.
Механизмы общей организации работы СЗИ предназначены для сис-
темной увязки и координации работы всех компонентов СЗИ.
В понятие «организационное построение» СЗИ входит также распре-
деление элементов этой системы по организационно-структурным эле-
ментам ООИ. Исходя из этого, в организационном построении СЗИ долж-
ны быть предусмотрены подсистемы защиты на объектах (структурных
компонентах) ООИ со своими специфическими механизмами защиты и
некоторое управляющее звено, которое имеет название ядро СЗИ.
13.3. Ядро системы защиты информации
Ядро системы защиты предназначено для объединения всех под-
систем СЗИ в единую целостную систему, организации обеспечения
управления ее функционированием.
Ядро может включать организационные и технические составляющие.
265
Основы информационной безопасности
Организационная составляющая представляет собой совокупность
специально выделенных для обеспечения ЗИ сотрудников, выполняющих
свои функции в соответствии с разработанными правилами, а также нор-
мативную базу, регламентирующую выполнение этих функций.
Техническая составляющая обеспечивает техническую поддержку
организационной составляющей и представляет собой совокупности тех-
нических средств отображения состояний элементов СЗИ, контроля дос-
тупа к ним, управления их включением и т. д. Чаще всего эти средства
объединены в соответствующий пульт управления СЗИ.
Ядро СЗИ обладает следующими функциями.
1. Включение компонентов СЗИ в работу при поступлении запросов
на обработку защищаемой информации и блокирование бесконтрольного
доступа к ней:
• оборудование объекта средствами охранной сигнализации;
• организация хранения носителей защищаемой информации в отдель-
ных хранилищах (документация, шифры, магнитные носители и т. д.).
• включение блокирующих устройств, регулирующих доступ к элемен-
там СЗИ при предъявлении соответствующих полномочий и средств
сигнализации.
2. Организация и обеспечение проверок правильности функциониро-
вания СЗИ:
• аппаратных средств - по тестовым программам и организационно;
• физических средств - организационно (плановые проверки средств
охранной сигнализации, сигнализации о повышении давления в ка-
белях и т. д.);
• программных средств - по специальным контрольным суммам
(на целостность) и по другим идентифицирующим признакам.
13.4. Ресурсы системы защиты информации
Ресурсы информационно-вычислительной системы, необходимые
для создания и поддержания функционирования СЗИ, как и любой дру-
гой автоматизированной системы, объединяются в техническое, матема-
тическое, программное, информационное и лингвистическое обеспечение.
1. Техническое обеспечение - совокупность технических средств, необ-
ходимых для технической поддержки решения всех тех задач защи-
ты информации, решение которых может потребоваться в процессе
функционирования СЗИ.
Ж
Часть 2. Информационная безопасность автоматизированных систем
2. Математическое обеспечение - совокупность математических ме-
тодов, моделей и алгоритмов, необходимых для оценки уровня за-
щищенности информации и решения других задач защиты.
3. Программное обеспечение - совокупность программ, реализующих
программные средства защиты, а также программ, необходимых для
решения задач управления механизмами защиты. К ним должны
быть отнесены также сервисные и вспомогательные программы
СЗИ.
4. Информационное обеспечение - совокупность систем классифика-
ции и кодирования данных о защите информации, массивы дынных
СЗИ, в также входные и выходные документы СЗИ.
5. Лингвистическое обеспечение - совокупность языковых средств, не-
обходимых для обеспечения взаимодействия компонентов СЗИ меж-
ду собой, с компонентами объекта обработки информации и с внеш-
ней средой.
13.5. Организационное построение
Организационное построение СЗИ в самом общем случае может быть
представлено совокупностью следующих рубежей защиты (рис. 2.21):
1) территории, занимаемой ООИ;
2) зданий, расположенных на территории;
3) помещений внутри здания, в которых расположены ресурсы ООИ и
защищаемая информация;
4) ресурсов, используемых для обработки и хранения информации и са-
мой защищаемой информации;
5) линий связи, проходящих в пределах одного и того же здания;
6) линий (каналов) связи, проходящих между различными зданиями,
расположенными на одной и той же охраняемой территории;
7) линий (каналов) связи, соединяющих с другими объектами вне охра-
няемой территории.
Таким образом, можно провести организационное построение систе-
мы защиты информации с помощью приведенной семирубежной модели.
В наиболее общем случае необходимо в зависимости от выбранной стра-
тегии защиты сформулировать требования к ядру СЗИ и ресурсам СЗИ, а
также использовать критерии построения СЗИ, изложенные в данной
главе.
267
Основы информационной безопасности
Рис. 2.21. Семирубежная модель защиты информации
Необходимо отметить, что построение СЗИ должно проводиться
в соответствии с нормативно-правовой документацией, принятой в РФ.
На осуществление большинства видов деятельности в сфере защиты ин-
формации необходимы лицензии. Так, для работы с государственной
тайной, для работы с криптографическими средствами требуются соот-
ветствующие лицензии Федеральной службы безопасности, технические
средства должны быть аттестованы Федеральной службой по техниче-
скому и экспортному контролю.
Литература
1. Анин Б. Ю. Защита компьютерной информации. СПб.: БХВ - Санкт-
Петербург, 2000. 384 с: ил.
2. Бухвинер В. Е. Телеобслуживание и человекомашинная связь.
М.: Радио и связь, 1983
3. Второй московский форум диллеров ME // Компьютерра. 1993.
№21. С. 14.
4. Гайкович В. Ю., Першин А. Ю. Безопасность электронных банков-
ских систем. М.: Единая Европа, 1994.
5. Герасименко В. А. Зашита информации в автоматизированных сис-
темах обработки данных. В 2-х кн. М.: Энергоатомиздат.1994.
6. Герасименко В. А., Малюк А. А. Основы защиты информации.
М.: Инкомбук, 1997. 540 с.
М»
Часть 2. Информационная безопасность автоматизированных систем
7. Грушко А. А., Тимонина Е. Е. Теоретические основы защиты ин-
формации. Яхтсмен, 1996.
8. Дружинин Т. В., Сергеева И. В. Качество информации. М.: Радио
и связь, 1990. С. 170.
9. Закон РФ об информации, информатизации и защите информации.
10. Касперский Е. Компьютерные вирусы: что это такое и как с ними
бороться. М.: СК Пресс, 1998.
11. Корюкова А. А., Дера В. Т. Основы научно-технической информа-
ции. М.: Высш, шк., 1985.
12. Лопатников Л. И. Популярный экономико-математический словарь.
М.: Знание, 1990. С. 49.
13. Мафик С. Механизмы защиты в сетях ЭВМ. М.: Мир, 1993.
14. Мельников В. В. Защита информации в компьютерных системах.
М.: Финансы и статистика: Электроинформ, 1997.
15. Новик И. Б., Абдуллаев А. Ш. Введение в информационный мир.
М.: Наука, 1991. С.7.
16. Программно-аппаратные средства обеспечения информационной
безопасности. Защита программ и данных: Учеб, пособие для вузов /
П. Ю. Белкин, О. О. Михальский, А. С. Першаков и др. М.: Радио
и связь, 2000. 168 с.: ил.
17. Программно-аппаратные средства обеспечения информационной
безопасности. Защита в операционных системах: Учеб, пособие для
вузов /Проскурин В.Г., Кругов СВ., Мацкевич И.В. М.: Радио
и связь, 2000. 168 с.
18. Расторгуев С. П. Программные методы защиты информации в ком-
пьютерах и сетях. М.: Яхтсмен, 1993.
19. Руководящий документ ГТК РФ. Автоматизированные системы. За-
щита от несанкционированного доступа к информации. Классифика-
ция автоматизированных систем и требований по защите информа-
ции. М.: Воениздат, 1992.
20. Руководящий документ ГТК РФ. Средства вычислительной техники.
Защита от несанкционированного доступа к информации. Показате-
ли защищенности от несанкционированного доступа к информации.
М.: Воениздат, 1992.
21. Самосук М. Компьютерное пиратство. // Защита программного обес-
печения: Сб./Подред. Гроубера. М.: Мир, 1992
269
Основы информационной безопасности
22. Семкин С. Н., Семкин А. Н. Основы информационной безопасности
объектов обработки информации: Науч.-практ. пособие. Орел: 2000.
300 с.
23. Слепов Б. С., Чистяков В. М. Управление процессами использования
информационных ресурсов. Новосибирск: Наука, 1984, с. 235.
24. Спесивцев А. П. Защита информации в персональных ЭВМ. М.: Ра-
дио и связь, 1992.
25. Теоретические основы компьютерной безопасности: Учебное посо-
бие для вузов / П. Н. Девянин, О. О. Михальский, Д. И. Правиков и
др. М.: Радио и связь, 2000. 192 с: ил.
26. Терминологические основы проблематики информационной безо-
пасности // Мат. к заседанию межвед. междисциплинарного сем. по на-
уч. проблемам информ, безопасности 1 марта 2001 г. М.: МГУ, 2001.
27. Хоффман Л. Дж. Современные методы защиты информации: Пер.
с англ. М.: Сов. радио, 1980.
28. Цыкин Г. С. Усилители электрических сигналов. М.: Энергия, 1969.
29. Шеннон К. Работы по теории информации и кибернетике. М.: Изд-во
иностранной литературы, 1963. 489 с.
30. Ярочкин В. И. Безопасность информационных систем. М.: Ось-89,
1996. 320 с. (безопасность предпринимательства).
31. Ярочкин В. И. Система безопасности фирмы. 2-е изд. М.: Ось-89,
1999. 192 с.
32. Ярочкин В. И. Технические каналы утечки информации. М.: ИП-
КОР, 1994.
33. BovteillerR. Das Hacker HACKBUCH, Tdition Aragon, Moers, 1985.
34. Lemere H.M. SECURITE DES SYSTEMES D'INFORMATION. Infor-
matique E Stratigue Paris, DUNOD, 1991.
35. Шнайдер Б. Прикладная криптография. M.: Мир 1999.
36. Интеллектуальные системы в управлении, конструировании и обра-
зовании / Под ред. проф. А. А. Шелупанова. Томск: STT, 2001. 224 с.
37. www.kara-murza.ru.
38. Труд. 2000. № 19. С. 5.
39. www.dni.ni/news/societv/2002/2/16/6047.html.
40. www.fr.ru/arhiv/2001/37/57.html.
41. Эксперт. № 1-12.2000.
42. Эксперт. № 1-12.2001.
43. http://bit.tsure.ni/books/ezi/uchebnik/3.htm.
Приложение 1
РАБОЧАЯ ПРОГРАММА ПО ДИСЦИПЛИНЕ
«ОСНОВЫ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ»
I. Цели и задачи дисциплины, ее место в учебном
процессе. Цели преподавания дисциплины
Цель дисциплины «Основы информационной безопасности» - заложить
терминологический фундамент, научить правильно проводить анализ угроз
информационной безопасности, выполнять основные этапы решения задач
информационной безопасности, приобрести навыки анализа угроз информа-
ционной безопасности, рассмотреть основные общеметодологические прин-
ципы теории информационной безопасности; изучение методов и средств
обеспечения информационной безопасности, методов нарушения конфиден-
циальности, целостности и доступности информации.
Задачи изучения дисциплины
1. Ознакомление студентов с терминологией информационной безо-
пасности.
2. Развитие мышления студентов.
3. Изучение методов и средств обеспечения информационной безопас-
ности.
4. Обучение определению причин, видов, источников и каналов утеч-
ки, искажения информации.
Общие указания к выполнению практических занятий
В целях лучшего понимания сути представления и обработки инфор-
мации при защите рекомендуется использовать гипотетическую модель
информации, что позволит использовать архитектурные особенности,
свойственные конкретным моделям анализа. Примеры следует выбирать
так, чтобы вычисления были не слишком громоздкими. Следует рассмат-
ривать задачи, возникающие в самых различных отраслях, и показать ди-
намику решения задач: как подойти к решению конкретной проблемы,
какие ограничения возникают в рамках данного решения и какие резуль-
таты получаются в конечном счете. В идеальном случае процесс обуче-
ния должен происходить следующим образом: студент слушает лекции,
271
Основы информационной безопасности
читает учебную литературу, работает дома и на практических занятиях.
Студенту рекомендуется иметь доступ к компьютеру во время самостоя-
тельной работы для выполнения индивидуальных заданий.
Подготовка к каждой работе производится во внеаудиторное время.
В самостоятельную работу входит выполнение индивидуальных заданий.
Преподаватель принимает решение о допуске студента к практической
работе по результатам собеседования. Студенты знакомятся с общими
сведениями, порядком выполнения работы, пишут необходимые поясне-
ния в соответствии с полученным вариантом задания. При защите работы
студент отвечает преподавателю на контрольные вопросы, представляет
теоретическую часть решения задачи, практический расчет.
Перечень дисциплин, усвоение которых необходимо
для изучения данного курса
Для выполнения большинства задач достаточно «здравого смысла»,
знания элементарной математики и начальных сведений из математиче-
ского анализа, линейной алгебры, дискретной математики.
II. Содержание дисциплины
1. Теоретические занятия (18 ч)
№ п/п Тема и ее содержание Колич. часов
1 Понятие национальной безопасности, виды безопасности. Информационная безопасность РФ. Органы, обеспечивающие национальную безопасность РФ, цели, задачи. Национальные интересы РФ в информационной сфере. Приоритетные направления в области защиты инфор- мации в РФ. Тенденции развития информационной политики государств и ведомств. Государственная тайна. Правовое обеспечение защиты информации 2
2 Терминологические основы информационной безопасно- сти. Основные понятия и определения. Понятие информации, информатизации, информационных сис- тем и смежных с ними: информационная безопасность, инфор- мационная война, информационная агрессия, информационное оружие, информационные процессы, информационная система, информационная сфера. Понятия автора и собственника инфор- мации, взаимодействие субъектов в информационном обмене. Защита информации, тайна, средства защиты информации, уг- розы - определения, сопоставление 2
272
Приложение 1
№ п/п Тема и ее содержание Колич. часов
3 Общеметодологические принципы теории информацион- ной безопасности. Комплексность. Этапы развития информационной безопасности: 1. Системы безопасности ресурса. 2. Этап развитой защиты (постепенное осознание необходимости комплексирования целей защиты, расширение арсенала используемых средств защиты, стали объединяться в функциональные самостоятельные системы защиты). 3. Этап комплексной защиты. Требования к системе защиты информации. Показатели информации: важность, полнота, адекватность, релевантность, толерантность. Комплексность: целевая, инструментальная, структурная, функциональная, временная 2
4 Угрозы. Классификация и анализ угроз информационной безопасности. Понятие угрозы. Виды угроз. Три наиболее выраженные уг- розы: 1) подверженность физическому искажению или унич- тожению; 2) возможность несанкционированной (случайной или злоумышленной) модификации; 3) опасность несанкцио- нированного (случайного и преднамеренного) получения информации лицами, ддя которых она не предназначена. Характер происхождения угроз: умышленные факторы, есте- ственные факторы. Источники угроз. Предпосылки появле- ния угроз: объективные, субъективные 4
5 Методы нарушения конфиденциальности, целостности и доступности информации. Классы каналов несанкционированного получения информа- ции: 1) непосредственно с объекта; 2) с каналов отображения информации; 3) получение по внешним каналам; 4) подклю- чение к каналам получения информации. Причины нарушения целостности информации: субъектив- ные преднамеренные, субъективные непреднамеренные, объ- ективные непреднамеренные. Потенциально возможные злоумышленные действий в авто- матизированных системах обработки данных. Функции защиты информации: 4 функции. Стратегии защиты информации: оборонительная стратегия, наступательная стратегия, упреждающая стратегия. Архитектура систем защиты информации. Семирубежная модель защиты информации 2
273
Основы информационной безопасности
№ и/и Тема и ее содержание Колич. часов
6 Причины, виды, каналы утечки и искажения информации. Три методологических подхода к оценке уязвимости информации: эмпирический, теоретический и теоретико- эмпирический. Модель затрат, разработанная специалистами американской фирмы IBM. Модель защиты - модель систе- мы с полным перекрытием. Последовательность решения за- дачи защиты информации. Фундаментальных требования, которым должны удовлетворять те вычислительные системы, которые используются дая обработки конфиденциальной информации. Требования разделены на три группы: страте- гия, подотчетность, гарантии. Классификация автоматизиро- ванных систем и требований по защите информации. Факто- ры, влияющие на требуемый уровень зашиты информации 4
7 Функции и задачи защиты информации. Проблемы ре- гиональной информационной безопасности. Методы формирования функций защиты. Сокрытие инфор- мации о средствах, комплексах, объектах и системах обра- ботки информации. Дезинформация противника. Легендиро- вание. Введение избыточности элементов системы. Резерви- рование элементов системы. Регулирование доступа к элементам системы и защищаемой информации. Регулирова- ние использования элементов системы и защищаемой ин- формации. Маскировка информации. Регистрация сведений. Уничтожение информации. Обеспечение сигнализации. Обеспечение реагирования. Управление системой защиты информации. Обеспечение требуемого уровня готовности обслуживающего персонала к решению задач информацион- ной безопасности. Защита от информационного воздействия на технические средства обработки. Защита от информаци- онного воздействия на общество. Зашита от информационно- го воздействия на психику человека. Применение криптографии. Региональные компоненты защиты информации. Защита ин- формации предприятия. Проведение анализа защищенности локального объекта 2
Итого 18
274
Приложение 1
2. Практические занятия (18 ч)
№ п/п Тема и ее содержание Колич. часов
1 Анализ терминов и определений информационной безопас- ности. ГОСТы и руководящие документы 2
2 Угрозы информации. Проведение анализа информации на предмет целостности 2
3 Определение коэффициентов важности, полноты, адекватно- сти, релевантности, толерантности информации 4
4 Классификация автоматизированных систем обработки ин- формации по классу защиты информации 4
5 Оценка безопасности информации на объектах ее обработки 6
Итого 18
3. Самостоятельная работа (28 ч)
Самостоятельная работа включает следующие задания:
№ п/п Тема и ее содержание Колич. часов
1 Подготовка к практическим занятиям, повторение изучения лекционного материала (проверка - на практических занятиях) 10
2 Подготовка к лекциям, повторение учебного материала пре- дыдущих лекций (проверка - на экзамене) 8
3 Изучение материалов лекционного курса по заданиям на самостоятельную проработку, выдаваемых преподавателем на занятиях (проверка - на экзамене) 10
Итого 28
III. Учебно-методические материалы по дисциплине
Основная литература
1. Семкин С. Н., Семкин А. Н. Основы информационной безопасности
объектов обработки информации: Науч.-практ. пособие. Орел: 2000.
300 с.
2. Герасименко В. А., Малюк А. А. Основы защиты информации.
М.: Инкомбук, 1997.540 с.
275
Основы информационной безопасности
3. Герасименко В. А. Защита информации в автоматизированных сис-
темах обработки данных: В 2 кн. М.: Энергоатомиздат, 1994.
4. Хоффман Л. Дж. Современные методы защиты информации: Пер.
с англ. М.: Сов. радио, 1980.
5. Грушко А. А., Тимонина Е. Е. Теоретические основы защиты ин-
формации. М: Яхтсмен, 1996.
6. Теоретические основы компьютерной безопасности: Учеб, пособие
для вузов / П. Н. Девянин, О. О. Михальский, Д. И. Правиков и др.
М.: Радио и связь, 2000. 192 с: ил.
7. Ярочкин В. И. Безопасность информационных систем. М: Ось-89,
1996. 320 с. (Безопасность предпринимательства).
Дополнительная литература
1. Программно-аппаратные средства обеспечения информационной
безопасности. Зашита программ и данных: Учеб, пособие для вузов /
П. Ю. Белкин, О. О. Михальский, А. С. Першаков и др. М: Радио и
связь, 2000. 168 с.: ил.
2. Программно-аппаратные средства обеспечения информационной
безопасности. Защита в операционных системах: Учеб, пособие для
вузов / В. Г. Проскурин, С. В. Кругов, И. В. Мацкевич. М.: радио и
связь, 2000. 168 с.
3. Анин Б. Ю. Защита компьютерной информации. СПб.: БХВ - Санкт-
Петербург, 2000. 384 с: ил.
4. Мельников В. В. Защита информации в компьютерных системах. М.:
Финансы и статистика: Электроинформ, 1997.
5. Гайкович В. Ю., Першин А. Ю. Безопасность электронных банков-
ских систем. М.: Единая Европа, 1994.
6. Ярочкин В. И. Система безопасности фирмы, 2-е изд. М.: Ось-89,
1999. 192 с.
7. Терминологические основы проблематики информационной безо-
пасности // Мат. к заседанию межвед. междисциплинарного сем. по
науч, проблемам информ, безопасности 1 марта 2001 г. М.: МГУ,
2001.
8. Расторгуев С. П. Программные методы защиты информации в ком-
пьютерах и сетях. М.: Яхтсмен, 1993.
276
Приложение 1
Законодательство
1. Конституция РФ.
2. Доктрина информационной безопасности РФ.
3. ФЗ «Об информации, информатизации и защите информации».
4. ФЗ «О безопасности».
5. ФЗ «О государственной тайне».
6. ФЗ «О связи».
7. ФЗ «О лицензировании отдельных видов деятельности».
8. ФЗ «Об электронной цифровой подписи».
277
Приложение 2
ИНДИВИДУАЛЬНЫЕ ЗАДАНИЯ
Индивидуальные задания состоят из двух частей, взаимосвязанных
друг с другом по объекту защиты информации. Объект необходимо ис-
следовать таким образом, чтобы можно было применить все основные
элементы защиты информации, т. е. определяя местоположение, внешние
и внутренние характеристики с учетом естественных событий. Однако
уточнение характеристик не должно приводить к абсолютной конкрети-
зации объекта, так как в этом случае будет затруднен анализ объекта.
Первое задание
Для выполнения первой части необходимо для выбранного опреде-
ленного объекта защиты информации описать объект защиты, провести
анализ защищенности объекта защиты информации по следующим пунк-
там.
1. Виды угроз.
2. Характер происхождения угроз.
3. Классы каналов несанкционированного получения информации;
4. Источники появления угроз.
5. Причины нарушения целостности информации.
6. Потенциально возможные злоумышленные действия.
7. Определить класс защиты информации.
Второе задание
Для выполнения второго задания предложить анализ увеличения за-
щищенности объекта защиты информации по следующим пунктам.
1. Определить требования к защите информации.
2. Классифицировать автоматизированную систему.
3. Определить факторы, влияющие на требуемый уровень защиты ин-
формации.
4. Выбрать или разработать способы и средства защиты информации;
278
Приложение 2
5. Построить архитектуру систем защиты информации.
6. Сформулировать рекомендации по увеличению уровня затттищенности.
Наименование объекта защиты информации:
1. Одиночно стоящий компьютер в бухгалтерии.
2. Сервер в бухгалтерии.
3. Почтовый сервер.
4. Веб-сервер.
5. Компьютерная сеть материальной группы.
6. Одноранговая локальная сеть без выхода в Интернет.
7. Одноранговая локальная сеть с выходом в Интернет.
8. Сеть с выделенным сервером без выхода в Интернет.
9. Сеть с выделенным сервером с выходом в Интернет.
10. Телефонная база данных (содержащая и информацию ограниченного
пользования) в твердой копии и на электронных носителях.
11. Телефонная сеть.
12. Средства телекоммуникации (радиотелефон, мобильный телефон,
пейджер).
13. Банковские операции (внесение денег на счет и снятие со счета).
14. Операции с банковскими пластиковыми карточками.
15. Компьютер, хранящий конфиденциальную информацию о сотрудни-
ках предприятия.
16. Компьютер, хранящий конфиденциальную информацию о разработ-
ках предприятия.
17. Материалы для служебного пользования на твердых носителях в
производстве.
18. Материалы для служебного пользования на твердых носителях на
закрытом предприятии.
19. Материалы для служебного пользования на твердых носителях в ар-
хиве.
20. Материалы для служебного пользования на твердых носителях в на-
логовой инспекции.
21. Комната для переговоров по сделкам на охраняемой территории.
22. Комната для переговоров по сделкам на неохраняемой территории.
279
Основы информационной безопасности
23. Сведения для СМИ, цензура на различных носителях информации
(твердая копия, фотография, электронный носитель и др.).
24. Судебные материалы (твердая копия).
25. Паспортный стол РОВД.
26. Материалы по владельцам автомобилей (твердая копия, фотография,
электронный носитель и др.).
27. Материалы по недвижимости (твердая копия, фотография, электрон-
ный носитель и др.).
28. Сведения по тоталитарным сектам и другим общественно вредным
организациям.
29. Сведения по общественно полезным организациям (Красный Крест
и др.).
30. Партийные списки и руководящие документы.
280
Приложение 3
ВОПРОСЫ К ЭКЗАМЕНУ
1. Теория защиты информации. Основные направления.
2. Обеспечение информационной безопасности и направления защиты.
3. Комплексность (целевая, инструментальная, структурная, функцио-
нальная, временная).
4. Требования к системе защиты информации.
5. Угрозы информации.
6. Виды угроз. Основные нарушения.
7. Характер происхождения угроз.
8. Источники угроз. Предпосылки появления угроз.
9. Система защиты информации.
10. Классы каналов несанкционированного получения информации.
11. Причины нарушения целостности информации.
12. Методы и модели оценки уязвимости информации.
13. Общая модель воздействия на информацию.
14. Общая модель процесса нарушения физической целостности инфор-
мации.
15. Структурированная схема потенциально возможных злоумышлен-
ных действий в автоматизированных системах обработки данных.
16. Методологические подходы к оценке уязвимости информации.
17. Модель защиты системы с полным перекрытием.
18. Рекомендации по использованию моделей оценки уязвимости ин-
формации.
19. Допущения в моделях оценки уязвимости информации.
20. Методы определения требований к защите информации.
21. Факторы, обусловливающие конкретные требования к защите, обуслов-
ленные спецификой автоматизированной обработки информации.
22. Классификация требований к средствам защиты информации.
23. Требования к защите, определяемые структурой автоматизирован-
ной системы обработки данных.
281
Основы информационной безопасности
24. Требования к защите, обусловливаемые видом защищаемой инфор-
мации.
25. Требования, обусловливаемые взаимодействием пользователя с ком-
плексом средств автоматизации.
26. Анализ существующих методик определения требований к защите
информации.
27. Стандарт США «Критерии оценки гарантировано защищенных вы-
числительных систем в интересах Министерства обороны США».
Основные положения.
28. О Руководящем документе Гостехкомиссии России «Классификация
автоматизированных систем и требований по защите информации»,
выпущенном в 1992 г. Ч. 1.
29. Классы защищенности средств вычислительной техники от несанк-
ционированного доступа.
30. Факторы, влияющие на требуемый уровень защиты информации.
31. Функции и задачи защиты информации. Основные положения меха-
низмов непосредственной защиты и механизмы управления меха-
низмами непосредственной защиты.
32. Методы формирования функций защиты.
33. События, возникающие при формировании функций защиты.
34. Классы задач функций защиты.
35. Класс задач функций защиты 1 - уменьшение степени распознавания
объектов.
36. Класс задач функций защиты 2 - защита содержания обрабатывае-
мой, хранимой и передаваемой информации.
37. Класс задач функций защиты 3 - защита информации от информа-
ционного воздействия.
38. Функции защиты информации.
39. Стратегии защиты информации.
40. Способы и средства защиты информации.
41. Способы «абсолютной системы защиты».
42. Архитектура систем защиты информации. Требования.
43. Общеметодологических принципов архитектуры системы защиты
информации.
44. Построение средств защиты информации.
45. Ядро системы защиты информации.
46. Семирубежная модель защиты.
282
Приложение 4
ДОКТРИНА ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ
УТВЕРЖДАЮ:
Президент РФ
9сентября 2000г. №Пр-1895
Доктрина информационной безопасности Российской
Федерации представляет собой совокупность
официальных взглядов на цели, задачи, принципы
и основные направления обеспечения информационной
безопасности Российской Федерации.
Настоящая Доктрина служит основой для:
• формирования государственной политики в области обеспечения ин-
формационной безопасности РФ;
• подготовки предложений по совершенствованию правового, методи-
ческого, научно-технического и организационного обеспечения ин-
формационной безопасности РФ;
• разработки целевых программ обеспечения информационной безо-
пасности РФ.
Настоящая Доктрина развивает Концепцию национальной безопасно-
сти РФ применительно к информационной сфере.
I. Информационная безопасность
Российской Федерации
1. Национальные интересы Российской Федерации
в информационной сфере и их обеспечение
Современный этап развития общества характеризуется возрастающей
ролью информационной сферы, представляющей собой совокупность
информации, информационной инфраструктуры, субъектов, осуществ-
ляющих сбор, формирование, распространение и использование инфор-
283
Основы информационной безопасности
мации, а также системы регулирования возникающих при этом общест-
венных отношений. Информационная сфера, являясь системообразую-
щим фактором жизни общества, активно влияет на состояние политиче-
ской, экономической, оборонной и других составляющих безопасности
РФ. Национальная безопасность РФ существенным образом зависит от
обеспечения информационной безопасности, и в ходе технического про-
гресса эта зависимость будет возрастать.
Под информационной безопасностью РФ понимается состояние за-
щищенности ее национальных интересов в информационной сфере, оп-
ределяющихся совокупностью сбалансированных интересов личности,
общества и государства.
Интересы личности в информационной сфере заключаются в реали-
зации конституционных прав человека и гражданина на доступ к инфор-
мации, на использование информации в интересах осуществления не за-
прещенной законом деятельности, физического, духовного и интеллекту-
ального развития, а также в защите информации, обеспечивающей
личную безопасность.
Интересы общества в информационной сфере заключаются в обеспе-
чении интересов личности в этой сфере, упрочении демократии, создании
правового социального государства, достижении и поддержании общест-
венного согласия, в духовном обновлении России.
Интересы государства в информационной сфере заключаются в соз-
дании условий для гармоничного развития российской информационной
инфраструктуры, для реализации конституционных прав и свобод чело-
века и гражданина в области получения информации и пользования ею
в целях обеспечения незыблемости конституционного строя, суверените-
та и территориальной целостности России, политической, экономической
и социальной стабильности, в безусловном обеспечении законности
и правопорядка, развитии равноправного и взаимовыгодного междуна-
родного сотрудничества.
На основе национальных интересов РФ в информационной сфере
формируются стратегические и текущие задачи внутренней и внешней
политики государства по обеспечению информационной безопасности.
Выделяются четыре основные составляющие национальных интере-
сов РФ в информационной сфере.
Первая составляющая национальных интересов РФ в информацион-
ной сфере включает в себя соблюдение конституционных прав и свобод
человека и гражданина в области получения информации и пользования
ею, обеспечение духовного обновления России, сохранение и укрепление
нравственных ценностей общества, традиций патриотизма и гуманизма,
культурного и научного потенциала страны.
284
Приложение 4
Для достижения этого требуется:
• повысить эффективность использования информационной инфра-
структуры в интересах общественного развития, консолидации рос-
сийского общества, духовного возрождения многонационального на-
рода РФ;
• усовершенствовать систему формирования, сохранения и рациональ-
ного использования информационных ресурсов, составляющих осно-
ву научно-технического и духовного потенциала РФ;
• обеспечить конституционные права и свободы человека и граждани-
на свободно искать, получать, передавать, производить и распро-
странять информацию любым законным способом, получать досто-
верную информацию о состоянии окружающей среды;
• обеспечить конституционные права и свободы человека и граждани-
на на личную и семейную тайну, тайну переписки, телефонных пере-
говоров, почтовых, телеграфных и иных сообщений, на защиту своей
чести и своего доброго имени;
• укрепить механизмы правового регулирования отношений в области
охраны интеллектуальной собственности, создать условия для со-
блюдения установленных федеральным законодательством ограни-
чений на доступ к конфиденциальной информации;
• гарантировать свободу массовой информации и запрет цензуры;
• не допускать пропаганду и агитацию, которые способствуют разжи-
ганию социальной, расовой, национальной или религиозной ненавис-
ти и вражды;
• обеспечить запрет на сбор, хранение, использование и распростране-
ние информации о частной жизни лица без его согласия и другой ин-
формации, доступ к которой ограничен федеральным законодатель-
ством.
Вторая составляющая национальных интересов РФ в информацион-
ной сфере включает в себя информационное обеспечение государствен-
ной политики РФ, связанное с доведением до российской и международ-
ной общественности достоверной информации о государственной поли-
тике РФ, ее официальной позиции по социально значимым событиям
российской и международной жизни, с обеспечением доступа граждан
к открытым государственным информационным ресурсам.
Для достижения этого требуется:
• укреплять государственные средства массовой информации, расши-
рять их возможности по своевременному доведению достоверной
информации до российских и иностранных граждан;
285
Основы информационной безопасности
• интенсифицировать формирование открытых государственных ин-
формационных ресурсов, повысить эффективность их хозяйственно-
го использования.
Третья составляющая национальных интересов РФ в информацион-
ной сфере включает в себя развитие современных информационных тех-
нологий, отечественной индустрии информации, в том числе индустрии
средств информатизации, телекоммуникации и связи, обеспечение по-
требностей внутреннего рынка ее продукцией и выход этой продукции
на мировой рынок, а также обеспечение накопления, сохранности и эф-
фективного использования отечественных информационных ресурсов.
В современных условиях только на этой основе можно решать проблемы
создания наукоемких технологий, технологического перевооружения
промышленности, приумножения достижений отечественной науки
и техники. Россия должна занять достойное место среди мировых лиде-
ров микроэлектронной и компьютерной промышленности.
Для достижения этого требуется:
• развивать и совершенствовать инфраструктуру единого информаци-
онного пространства РФ;
• развивать отечественную индустрию информационных услуг и по-
вышать эффективность использования государственных информаци-
онных ресурсов;
• развивать производство в РФ конкурентоспособных средств и систем
информатизации, телекоммуникации и связи, расширять участие
России в международной кооперации производителей этих средств
и систем;
• обеспечить государственную поддержку отечественных фундамен-
тальных и прикладных исследований, разработок в сферах информа-
тизации, телекоммуникации и связи.
Четвертая составляющая национальных интересов РФ в информаци-
онной сфере включает в себя защиту информационных ресурсов от не-
санкционированного доступа, обеспечение безопасности информацион-
ных и телекоммуникационных систем, как уже развернутых, так и созда-
ваемых на территории России.
В этих целях необходимо:
• повысить безопасность информационных систем, включая сети свя-
зи, прежде всего безопасность первичных сетей связи и информаци-
онных систем федеральных органов государственной власти, органов
государственной власти субъектов РФ, финансово-кредитной и бан-
286
Приложение 4
ковской сфер, сферы хозяйственной деятельности, а также систем и
средств информатизации вооружения и военной техники, систем
управления войсками и оружием, экологически опасными и эконо-
мически важными производствами;
• интенсифицировать развитие отечественного производства аппарат-
ных и программных средств защиты информации и методов контро-
ля за их эффективностью;
• обеспечить защиту сведений, составляющих государственную тайну;
• расширять международное сотрудничество РФ в области развития и
безопасного использования информационных ресурсов, противодей-
ствия угрозе развязывания противоборства в информационной сфере.
2. Виды угроз информационной безопасности
Российской Федерации
По своей общей направленности угрозы информационной безопасно-
сти РФ подразделяются на следующие виды:
• угрозы конституционным правам и свободам человека и гражданина
в области духовной жизни и информационной деятельности, индиви-
дуальному, групповому и общественному сознанию, духовному воз-
рождению России;
• угрозы информационному обеспечению государственной политики РФ;
• угрозы развитию отечественной индустрии информации, включая
индустрию средств информатизации, телекоммуникации и связи,
обеспечению потребностей внутреннего рынка в ее продукции и вы-
ходу этой продукции на мировой рынок, а также обеспечению нако-
пления, сохранности и эффективного использования отечественных
информационных ресурсов;
• угрозы безопасности информационных и телекоммуникационных
средств и систем, как уже развернутых, так и создаваемых на терри-
тории России.
Угрозами конституционным правам и свободам человека и гражда-
нина в области духовной жизни и информационной деятельности, инди-
видуальному, групповому и общественному сознанию, духовному воз-
рождению России могут являться:
• принятие федеральными органами государственной власти, органами
государственной власти субъектов РФ нормативных правовых актов,
287
Основы информационной безопасности
ущемляющих конституционные права и свободы граждан в области
духовной жизни и информационной деятельности;
• создание монополий на формирование, получение и распространение
информации в РФ, в том числе с использованием телекоммуникаци-
онных систем;
• противодействие, в том числе со стороны криминальных структур,
реализации гражданами своих конституционных прав на личную и
семейную тайну, тайну переписки, телефонных переговоров и иных
сообщений;
• нерациональное, чрезмерное ограничение доступа к общественно не-
обходимой информации;
• противоправное применение специальных средств воздействия на
индивидуальное, групповое и общественное сознание;
• неисполнение федеральными органами государственной власти, ор-
ганами государственной власти субъектов РФ, органами местного
самоуправления, организациями и гражданами требований феде-
рального законодательства, регулирующего отношения в информа-
ционной сфере;
• неправомерное ограничение доступа граждан к открытым информа-
ционным ресурсам федеральных органов государственной власти,
органов государственной власти субъектов РФ, органов местного са-
моуправления, к открытым архивным материалам, к другой открытой
социально значимой информации;
• дезорганизация и разрушение системы накопления и сохранения
культурных ценностей, включая архивы;
• нарушение конституционных прав и свобод человека и гражданина в
области массовой информации;
• вытеснение российских информационных агентств, средств массовой
информации с внутреннего информационного рынка и усиление за-
висимости духовной, экономической и политической сфер общест-
венной жизни России от зарубежных информационных структур;
• девальвация духовных ценностей, пропаганда образцов массовой
культуры, основанных на культе насилия, на духовных и нравствен-
ных ценностях, противоречащих ценностям, принятым в российском
обществе;
• снижение духовного, нравственного и творческого потенциала насе-
ления России, что существенно осложнит подготовку трудовых ре-
288
Приложение 4
сурсов для внедрения и использования новейших технологий, в том
числе информационных;
• манипулирование информацией (дезинформация, сокрытие или ис-
кажение информации).
Угрозами информационному обеспечению государственной полити-
ки РФ могут являться:
• монополизация информационного рынка России, его отдельных сек-
торов отечественными и зарубежными информационными структу-
рами;
• блокирование деятельности государственных средств массовой ин-
формации по информированию российской и зарубежной аудитории;
• низкая эффективность информационного обеспечения государствен-
ной политики РФ вследствие дефицита квалифицированных кадров,
отсутствия системы формирования и реализации государственной
информационной политики.
Угрозами развитию отечественной индустрии информации, включая
индустрию средств информатизации, телекоммуникации и связи, обеспе-
чению потребностей внутреннего рынка в ее продукции и выходу этой
продукции на мировой рынок, а также обеспечению накопления, сохран-
ности и эффективного использования отечественных информационных
ресурсов могут являться:
• противодействие доступу РФ к новейшим информационным техно-
логиям, взаимовыгодному и равноправному участию российских
производителей в мировом разделении труда в индустрии информа-
ционных услуг, средств информатизации, телекоммуникации и связи,
информационных продуктов, а также создание условий для усиления
технологической зависимости России в области современных ин-
формационных технологий;
• закупка органами государственной власти импортных средств ин-
форматизации, телекоммуникации и связи при наличии отечествен-
ных аналогов, не уступающих по своим характеристикам зарубеж-
ным образцам;
• вытеснение с отечественного рынка российских производителей
средств информатизации, телекоммуникации и связи;
• увеличение оттока за рубеж специалистов и правообладателей ин-
теллектуальной собственности.
289
Основы информационной безопасности
Угрозами безопасности информационных и телекоммуникационных
средств и систем, как уже развернутых, так и создаваемых на территории
России, могут являться:
• противоправные сбор и использование информации;
• нарушения технологии обработки информации;
• внедрение в аппаратные и программные изделия компонентов, реа-
лизующих функции, не предусмотренные документацией на эти из-
делия;
• разработка и распространение программ, нарушающих нормальное
функционирование информационных и информационно-телекомму-
никационных систем, в том числе систем защиты информации;
• уничтожение, повреждение, радиоэлектронное подавление или раз-
рушение средств и систем обработки информации, телекоммуника-
ции и связи;
• воздействие на парольно-ключевые системы зашиты автоматизиро-
ванных систем обработки и передачи информации;
• компрометация ключей и средств криптографической защиты ин-
формации;
• утечка информации по техническим каналам;
• внедрение электронных устройств для перехвата информации в тех-
нические средства обработки, хранения и передачи информации
по каналам связи, а также в служебные помещения органов государ-
ственной власти, предприятий, учреждений и организаций независи-
мо от формы собственности;
• уничтожение, повреждение, разрушение или хищение машинных
и других носителей информации;
• перехват информации в сетях передачи данных и на линиях связи,
дешифрование этой информации и навязывание ложной информа-
ции;
• использование несертифицированных отечественных и зарубежных
информационных технологий, средств защиты информации, средств
информатизации, телекоммуникации и связи при создании и разви-
тии российской информационной инфраструктуры;
• несанкционированный доступ к информации, находящейся в банках
и базах данных;
• нарушение законных ограничений на распространение информации.
290
Приложение 4
3. Источники угроз информационной безопасности
Российской Федерации
Источники угроз информационной безопасности РФ подразделяются
на внешние и внутренние. К внешним источникам относятся:
• деятельность иностранных политических, экономических, военных,
разведывательных и информационных структур, направленная про-
тив интересов РФ в информационной сфере;
• стремление ряда стран к доминированию и ущемлению интересов
России в мировом информационном пространстве, вытеснению ее
с внешнего и внутреннего информационных рынков;
• обострение международной конкуренции за обладание информаци-
онными технологиями и ресурсами;
• деятельность международных террористических организаций;
• увеличение технологического отрыва ведущих держав мира и нара-
щивание их возможностей по противодействию созданию конкурен-
тоспособных российских информационных технологий;
• деятельность космических, воздушных, морских и наземных техни-
ческих и иных средств (видов) разведки иностранных государств;
• разработка рядом государств концепций информационных войн, пре-
дусматривающих создание средств опасного воздействия на инфор-
мационные сферы других стран мира, нарушение нормального функ-
ционирования информационных и телекоммуникационных систем,
сохранности информационных ресурсов, получение несанкциониро-
ванного доступа к ним.
К внутренним источникам относятся:
• критическое состояние отечественных отраслей промышленности;
• неблагоприятная криминогенная обстановка, сопровождающаяся
тенденциями сращивания государственных и криминальных струк-
тур в информационной сфере, получения криминальными структу-
рами доступа к конфиденциальной информации, усиления влияния
организованной преступности на жизнь общества, снижения степени
защищенности законных интересов граждан, общества и государства
в информационной сфере;
• недостаточная координация деятельности федеральных органов го-
сударственной власти, органов государственной власти субъектов РФ
291
Основы информационной безопасности
по формированию и реализации единой государственной политики
в области обеспечения информационной безопасности РФ;
• недостаточная разработанность нормативной правовой базы, регули-
рующей отношения в информационной сфере, а также недостаточная
правоприменительная практика;
• неразвитость институтов гражданского общества и недостаточный
государственный контроль за развитием информационного рынка
России;
• недостаточное финансирование мероприятий по обеспечению ин-
формационной безопасности РФ;
• недостаточная экономическая мощь государства;
• снижение эффективности системы образования и воспитания, недос-
таточное количество квалифицированных кадров в области обеспе-
чения информационной безопасности;
• недостаточная активность федеральных органов государственной
власти, органов государственной власти субъектов РФ в информиро-
вании общества о своей деятельности, в разъяснении принимаемых
решений, в формировании открытых государственных ресурсов
и развитии системы доступа к ним граждан;
• отставание России от ведущих стран мира по уровню информатиза-
ции федеральных органов государственной власти, органов государ-
ственной власти субъектов РФ и органов местного самоуправления,
кредитно-финансовой сферы, промышленности, сельского хозяйства,
образования, здравоохранения, сферы услуг и быта граждан.
4. Состояние информационной безопасности Российской
Федерации и основные задачи по ее обеспечению
За последние годы в РФ реализован комплекс мер по совершенство-
ванию обеспечения ее информационной безопасности.
Начато формирование базы правового обеспечения информационной
безопасности. Приняты Закон РФ «О государственной тайне», Основы
законодательства РФ об Архивном фонде РФ и архивах, Федеральные за-
коны «Об информации, информатизации и защите информации»,
«Об участии в международном информационном обмене», ряд других за-
конов, развернута работа по созданию механизмов их реализации, подго-
товке законопроектов, регламентирующих общественные отношения
в информационной сфере.
292
Приложение 4
Осуществлены мероприятия по обеспечению информационной безо-
пасности в федеральных органах государственной власти, органах госу-
дарственной власти субъектов РФ, на предприятиях, в учреждениях и ор-
ганизациях независимо от формы собственности. Развернуты работы по
созданию защищенной информационно-телекоммуникационной системы
специального назначения в интересах органов государственной власти.
Успешному решению вопросов обеспечения информационной безо-
пасности РФ способствуют государственная система защиты информа-
ции, система защиты государственной тайны, системы лицензирования
деятельности в области защиты государственной тайны и системы сер-
тификации средств защиты информации.
Вместе с тем анализ состояния информационной безопасности РФ
показывает, что ее уровень не в полной мере соответствует потребностям
общества и государства.
Современные условия политического и социально-экономического
развития страны вызывают обострение противоречий между потребно-
стями общества в расширении свободного обмена информацией и необ-
ходимостью сохранения отдельных регламентированных ограничений на
ее распространение.
Противоречивость и неразвитость правового регулирования общест-
венных отношений в информационной сфере приводят к серьезным нега-
тивным последствиям. Так, недостаточность нормативного правового ре-
гулирования отношений в области реализации возможностей конститу-
ционных ограничений свободы массовой информации в интересах
защиты основ конституционного строя, нравственности, здоровья, прав
и законных интересов граждан, обеспечения обороноспособности страны
и безопасности государства существенно затрудняет поддержание необ-
ходимого баланса интересов личности, общества и государства в инфор-
мационной сфере. Несовершенное нормативное правовое регулирование
отношений в области массовой информации затрудняет формирование на
территории РФ конкурентоспособных российских информационных
агентств и средств массовой информации.
Необеспеченность прав граждан на доступ к информации, манипули-
рование информацией вызывают негативную реакцию населения, что
в ряде случаев ведет к дестабилизации социально-политической обста-
новки в обществе.
Закрепленные в Конституции РФ права граждан на неприкосновен-
ность частной жизни, личную и семейную тайну, тайну переписки прак-
тически не имеют достаточного правового, организационного и техни-
ческого обеспечения. Неудовлетворительно организована защита соби-
раемых федеральными органами государственной власти, органами
293
Основы информационной безопасности
государственной власти субъектов РФ, органами местного самоуправле-
ния данных о физических лицах (персональных данных).
Нет четкости при проведении государственной политики в области
формирования российского информационного пространства, развития
системы массовой информации, организации международного информа-
ционного обмена и интеграции информационного пространства России
в мировое информационное пространство, что создает условия для вы-
теснения российских информационных агентств, средств массовой ин-
формации с внутреннего информационного рынка и деформации струк-
туры международного информационного обмена.
Недостаточна государственная поддержка деятельности российских
информационных агентств по продвижению их продукции на зарубеж-
ный информационный рынок.
Ухудшается ситуация с обеспечением сохранности сведений, состав-
ляющих государственную тайну.
Серьезный урон нанесен кадровому потенциалу научных и производ-
ственных коллективов, действующих в области создания средств инфор-
матизации, телекоммуникации и связи, в результате массового ухода
из этих коллективов наиболее квалифицированных специалистов.
Отставание отечественных информационных технологий вынуждает
федеральные органы государственной власти, органы государственной
власти субъектов РФ и органы местного самоуправления при создании
информационных систем идти по пути закупок импортной техники
и привлечения иностранных фирм, из-за чего повышается вероятность
несанкционированного доступа к обрабатываемой информации и возрас-
тает зависимость России от иностранных производителей компьютерной
и телекоммуникационной техники, а также программного обеспечения.
В связи с интенсивным внедрением зарубежных информационных
технологий в сферы деятельности личности, общества и государства,
а также с широким применением открытых информационно-телекомму-
никационных систем, интеграцией отечественных информационных сис-
тем и международных информационных систем возросли угрозы приме-
нения «информационного оружия» против информационной инфраструк-
туры России. Работы по адекватному комплексному противодействию
этим угрозам ведутся при недостаточной координации и слабом бюджет-
ном финансировании. Недостаточное внимание уделяется развитию
средств космической разведки и радиоэлектронной борьбы.
Сложившееся положение дел в области обеспечения информацион-
ной безопасности РФ требует безотлагательного решения таких задач,
как:
294
Приложение 4
разработка основных направлений государственной политики в об-
ласти обеспечения информационной безопасности РФ, а также меро-
приятий и механизмов, связанных с реализацией этой политики;
развитие и совершенствование системы обеспечения информацион-
ной безопасности РФ, реализующей единую государственную поли-
тику в этой области, включая совершенствование форм, методов
и средств выявления, оценки и прогнозирования угроз информаци-
онной безопасности РФ, а также системы противодействия этим уг-
розам;
разработка федеральных целевых программ обеспечения информа-
ционной безопасности РФ;
разработка критериев и методов оценки эффективности систем
и средств обеспечения информационной безопасности РФ, а также
сертификации этих систем и средств;
совершенствование нормативной правовой базы обеспечения ин-
формационной безопасности РФ, включая механизмы реализации
прав граждан на получение информации и доступ к ней, формы
и способы реализации правовых норм, касающихся взаимодействия
государства со средствами массовой информации;
установление ответственности должностных лиц федеральных орга-
нов государственной власти, органов государственной власти субъ-
ектов РФ, органов местного самоуправления, юридических лиц и
граждан за соблюдение требований информационной безопасности;
координация деятельности федеральных органов государственной
власти, органов государственной власти субъектов РФ, предприятий,
учреждений и организаций независимо от формы собственности
в области обеспечения информационной безопасности РФ;
развитие научно-практических основ обеспечения информационной
безопасности РФ с учетом современной геополитической ситуации,
условий политического и социально-экономического развития Рос-
сии и реальности угроз применения «информационного оружия»;
разработка и создание механизмов формирования и реализации госу-
дарственной информационной политики России;
разработка методов повышения эффективности участия государства
в формировании информационной политики государственных теле-
радиовещательных организаций, других государственных средств
массовой информации;
295
Основы информационной безопасности
• обеспечение технологической независимости РФ в важнейших об-
ластях информатизации, телекоммуникации и связи, определяющих
ее безопасность, и в первую очередь в области создания специализи-
рованной вычислительной техники для образцов вооружения и воен-
ной техники;
• разработка современных методов и средств защиты информации,
обеспечения безопасности информационных технологий, и прежде
всего используемых в системах управления войсками и оружием,
экологически опасными и экономически важными производствами;
• развитие и совершенствование государственной системы защиты
информации и системы защиты государственной тайны;
• создание и развитие современной защищенной технологической ос-
новы управления государством в мирное время, в чрезвычайных си-
туациях и в военное время;
• расширение взаимодействия с международными и зарубежными ор-
ганами и организациями при решении научно-технических и право-
вых вопросов обеспечения безопасности информации, передаваемой
с помощью международных телекоммуникационных систем и систем
связи;
• обеспечение условий для активного развития российской информа-
ционной инфраструктуры, участия России в процессах создания и
использования глобальных информационных сетей и систем;
• создание единой системы подготовки кадров в области информаци-
онной безопасности и информационных технологий.
II. Методы обеспечения информационной
безопасности Российской Федерации
5. Общие методы обеспечения информационной
безопасности Российской Федерации
Общие методы обеспечения информационной безопасности РФ раз-
деляются на правовые, организационно-технические и экономические.
К правовым методам обеспечения информационной безопасности РФ
относится разработка нормативных правовых актов, регламентирующих
отношения в информационной сфере, и нормативных методических до-
кументов по вопросам обеспечения информационной безопасности РФ.
Наиболее важными направлениями этой деятельности являются:
296
Приложение 4
• внесение изменений и дополнений в законодательство РФ, регули-
рующее отношения в области обеспечения информационной безо-
пасности, в целях создания и совершенствования системы обеспече-
ния информационной безопасности РФ, устранения внутренних
противоречий в федеральном законодательстве, противоречий, свя-
занных с международными соглашениями, к которым присоедини-
лась РФ, и противоречий между федеральными законодательными
актами и законодательными актами субъектов РФ, а также в целях
конкретизации правовых норм, устанавливающих ответственность за
правонарушения в области обеспечения информационной безопасно-
сти РФ;
• законодательное разграничение полномочий в области обеспечения
информационной безопасности РФ между федеральными органами
государственной власти и органами государственной власти субъек-
тов РФ, определение целей, задач и механизмов участия в этой дея-
тельности общественных объединений, организаций и граждан;
• разработка и принятие нормативных правовых актов РФ, устанавли-
вающих ответственность юридических и физических лиц за несанк-
ционированный доступ к информации, ее противоправное копирова-
ние, искажение и противозаконное использование, преднамеренное
распространение недостоверной информации, противоправное рас-
крытие конфиденциальной информации, использование в преступ-
ных и корыстных целях служебной информации или информации,
содержащей коммерческую тайну;
• уточнение статуса иностранных информационных агентств, средств
массовой информации и журналистов, а также инвесторов при при-
влечении иностранных инвестиций для развития информационной
инфраструктуры России;
• законодательное закрепление приоритета развития национальных се-
тей связи и отечественного производства космических спутников
связи;
• определение статуса организаций, предоставляющих услуги глобаль-
ных информационно-телекоммуникационных сетей на территории
РФ, и правовое регулирование деятельности этих организаций;
• создание правовой базы для формирования в РФ региональных
структур обеспечения информационной безопасности.
Организационно-техническими методами обеспечения информаци-
онной безопасности РФ являются:
297
Основы информационной безопасности
• создание и совершенствование системы обеспечения информацион-
ной безопасности РФ;
• усиление правоприменительной деятельности федеральных органов
исполнительной власти, органов исполнительной власти субъектов
РФ, включая предупреждение и пресечение правонарушений в ин-
формационной сфере, а также выявление, изобличение и привлече-
ние к ответственности лиц, совершивших преступления и другие
правонарушения в этой сфере;
• разработка, использование и совершенствование средств защиты ин-
формации и методов контроля эффективности этих средств, развитие
защищенных телекоммуникационных систем, повышение надежно-
сти специального программного обеспечения;
• создание систем и средств предотвращения несанкционированного
доступа к обрабатываемой информации и специальных воздействий,
вызывающих разрушение, уничтожение, искажение информации,
а также изменение штатных режимов функционирования систем
и средств информатизации и связи;
• выявление технических устройств и программ, представляющих
опасность для нормального функционирования информационно-
телекоммуникационных систем, предотвращение перехвата инфор-
мации по техническим каналам, применение криптографических
средств защиты информации при ее хранении, обработке и передаче
по каналам связи, контроль за выполнением специальных требований
по защите информации;
• сертификация средств защиты информации, лицензирование дея-
тельности в области защиты государственной тайны, стандартизация
способов и средств защиты информации;
• совершенствование системы сертификации телекоммуникационного
оборудования и программного обеспечения автоматизированных
систем обработки информации по требованиям информационной
безопасности;
• контроль за действиями персонала в защищенных информационных
системах, подготовка кадров в области обеспечения информацион-
ной безопасности РФ;
• формирование системы мониторинга показателей и характеристик
информационной безопасности РФ в наиболее важных сферах жизни
и деятельности общества и государства.
298
Приложение 4
Экономические методы обеспечения информационной безопасности
РФ включают в себя:
• разработку программ обеспечения информационной безопасности
РФ и определение порядка их финансирования;
• совершенствование системы финансирования работ, связанных
с реализацией правовых и организационно-технических методов за-
щиты информации, создание системы страхования информационных
рисков физических и юридических лиц.
6. Особенности обеспечения информационной
безопасности Российской Федерации в различных
сферах общественной жизни
Информационная безопасность РФ является одной из составляющих
национальной безопасности РФ и оказывает влияние на защищенность
национальных интересов РФ в различных сферах жизнедеятельности об-
щества и государства. Угрозы информационной безопасности РФ и мето-
ды ее обеспечения являются общими для этих сфер.
В каждой из них имеются свои особенности обеспечения информа-
ционной безопасности, связанные со спецификой объектов обеспечения
безопасности, степенью их уязвимости в отношении угроз информацион-
ной безопасности РФ. В каждой сфере жизнедеятельности общества и го-
сударства наряду с общими методами обеспечения информационной
безопасности РФ могут использоваться частные методы и формы, обу-
словленные спецификой факторов, влияющих на состояние информаци-
онной безопасности РФ.
В сфере экономики. Обеспечение информационной безопасности РФ
в сфере экономики играет ключевую роль в обеспечении национальной
безопасности РФ.
Воздействию угроз информационной безопасности РФ в сфере эко-
номики наиболее подвержены:
• система государственной статистики;
• кредитно-финансовая система;
• информационные и учетные автоматизированные системы подразде-
лений федеральных органов исполнительной власти, обеспечиваю-
щих деятельность общества и государства в сфере экономики;
• системы бухгалтерского учета предприятий, учреждений и организа-
ций независимо от формы собственности;
299
Основы информационной безопасности
• системы сбора, обработки, хранения и передачи финансовой, бирже-
вой, налоговой, таможенной информации и информации о внешне-
экономической деятельности государства, а также предприятий, уч-
реждений и организаций независимо от формы собственности.
Переход к рыночным отношениям в экономике вызвал появление на
внутреннем российском рынке товаров и услуг множества отечественных
и зарубежных коммерческих структур - производителей и потребителей
информации, средств информатизации и защиты информации. Бескон-
трольная деятельность этих структур по созданию и защите систем сбора,
обработки, хранения и передачи статистической, финансовой, биржевой,
налоговой, таможенной информации создает реальную угрозу безопасно-
сти России в экономической сфере. Аналогичные угрозы возникают при
бесконтрольном привлечении иностранных фирм к созданию подобных
систем, поскольку при этом складываются благоприятные условия для
несанкционированного доступа к конфиденциальной экономической ин-
формации и для контроля за процессами ее передачи и обработки со сто-
роны иностранных спецслужб.
Критическое состояние предприятий национальных отраслей про-
мышленности, разрабатывающих и производящих средства информати-
зации, телекоммуникации, связи и защиты информации, приводит к ши-
рокому использованию соответствующих импортных средств, что созда-
ет угрозу возникновения технологической зависимости России от
иностранных государств.
Серьезную угрозу для нормального функционирования экономики
в целом представляют компьютерные преступления, связанные с проник-
новением криминальных элементов в компьютерные системы и сети бан-
ков и иных кредитных организаций.
Недостаточность нормативной правовой базы, определяющей ответ-
ственность хозяйствующих субъектов за недостоверность или сокрытие
сведений об их коммерческой деятельности, о потребительских свойст-
вах производимых ими товаров и услуг, о результатах их хозяйственной
деятельности, об инвестициях и тому подобном, препятствует нормаль-
ному функционированию хозяйствующих субъектов. В то же время су-
щественный экономический ущерб хозяйствующим субъектам может
быть нанесен вследствие разглашения информации, содержащей коммер-
ческую тайну. В системах сбора, обработки, хранения и передачи финан-
совой, биржевой, налоговой, таможенной информации наиболее опасны
противоправное копирование информации и ее искажение вследствие
преднамеренных или случайных нарушений технологии работы с инфор-
мацией, несанкционированного доступа к ней. Эго касается и федераль-
300
Приложение 4
ных органов исполнительной власти, занятых формированием и распро-
странением информации о внешнеэкономической деятельности РФ.
Основными мерами по обеспечению информационной безопасности
РФ в сфере экономики являются:
• организация и осуществление государственного контроля за создани-
ем, развитием и защитой систем и средств сбора, обработки, хране-
ния и передачи статистической, финансовой, биржевой, налоговой,
таможенной информации;
• коренная перестройка системы государственной статистической от-
четности в целях обеспечения достоверности, полноты и защищенно-
сти информации, осуществляемая путем введения строгой юридиче-
ской ответственности должностных лиц за подготовку первичной
информации, организацию контроля за деятельностью этих лиц
и служб обработки и анализа статистической информации, а также
путем ограничения коммерциализации такой информации;
• разработка национальных сертифицированных средств защиты ин-
формации и внедрение их в системы и средства сбора, обработки,
хранения и передачи статистической, финансовой, биржевой, нало-
говой, таможенной информации;
• разработка и внедрение национальных защищенных систем элек-
тронных платежей на базе интеллектуальных карт, систем электрон-
ных денег и электронной торговли, стандартизация этих систем,
а также разработка нормативной правовой базы, регламентирующей
их использование;
• совершенствование нормативной правовой базы, регулирующей ин-
формационные отношения в сфере экономики;
• совершенствование методов отбора и подготовки персонала для ра-
боты в системах сбора, обработки, хранения и передачи экономиче-
ской информации.
В сфере внутренней политики. Наиболее важными объектами обес-
печения информационной безопасности РФ в сфере внутренней политики
являются:
• конституционные права и свободы человека и гражданина;
• конституционный строй, национальное согласие, стабильность госу-
дарственной власти, суверенитет и территориальная целостность РФ;
• открытые информационные ресурсы федеральных органов исполни-
тельной власти и средств массовой информации.
301
Основы информационной безопасности
Наибольшую опасность в сфере внутренней политики представляют
следующие угрозы информационной безопасности РФ:
• нарушение конституционных прав и свобод граждан, реализуемых
в информационной сфере;
• недостаточное правовое регулирование отношений в области прав
различных политических сил на использование средств массовой
информации для пропаганды своих идей;
• распространение дезинформации о политике РФ, деятельности феде-
ральных органов государственной власти, событиях, происходящих
в стране и за рубежом;
• деятельность общественных объединений, направленная на насиль-
ственное изменение основ конституционного строя и нарушение це-
лостности РФ, разжигание социальной, расовой, национальной и ре-
лигиозной вражды, на распространение этих идей в средствах массо-
вой информации.
Основными мероприятиями в области обеспечения информационной
безопасности РФ в сфере внутренней политики являются:
• создание системы противодействия монополизации отечественными
и зарубежными структурами составляющих информационной инфра-
структуры, включая рынок информационных услуг и средства массо-
вой информации;
• активизация контрпропагандистской деятельности, направленной
на предотвращение негативных последствий распространения де-
зинформации о внутренней политике России.
В сфере внешней политики. К наиболее важным объектам обеспече-
ния информационной безопасности РФ в сфере внешней политики отно-
сятся:
• информационные ресурсы федеральных органов исполнительной
власти, реализующих внешнюю политику РФ, российских предста-
вительств и организаций за рубежом, представительств РФ при меж-
дународных организациях;
• информационные ресурсы представительств федеральных органов
исполнительной власти, реализующих внешнюю политику РФ,
на территориях субъектов РФ;
• информационные ресурсы российских предприятий, учреждений
и организаций, подведомственных федеральным органам исполни-
тельной власти, реализующим внешнюю политику РФ;
302
Приложение 4
• блокирование деятельности российских средств массовой информа-
ции по разъяснению зарубежной аудитории целей и основных на-
правлений государственной политики РФ, ее мнения по социально
значимым событиям российской и международной жизни.
Из внешних угроз информационной безопасности РФ в сфере внеш-
ней политики наибольшую опасность представляют:
• информационное воздействие иностранных политических, экономи-
ческих, военных и информационных структур на разработку и реали-
зацию стратегии внешней политики РФ;
• распространение за рубежом дезинформации о внешней политике РФ;
• нарушение прав российских граждан и юридических лиц в информа-
ционной сфере за рубежом;
• попытки несанкционированного доступа к информации и воздейст-
вия на информационные ресурсы, информационную инфраструктуру
федеральных органов исполнительной власти, реализующих внеш-
нюю политику РФ, российских представительств и организаций
за рубежом, представительств РФ при международных организациях.
Из внутренних угроз информационной безопасности РФ в сфере
внешней политики наибольшую опасность представляют:
• нарушение установленного порядка сбора, обработки, хранения и пе-
редачи информации в федеральных органах исполнительной власти,
реализующих внешнюю политику РФ, и на подведомственных им
предприятиях, в учреждениях и организациях;
• информационно-пропагандистская деятельность политических сил,
общественных объединений, средств массовой информации и от-
дельных лиц, искажающая стратегию и тактику внешнеполитической
деятельности РФ;
• недостаточная информированность населения о внешнеполитической
деятельности РФ.
Основными мероприятиями по обеспечению информационной безо-
пасности РФ в сфере внешней политики являются:
• разработка основных направлений государственной политики в об-
ласти совершенствования информационного обеспечения внешнепо-
литического курса РФ;
• разработка и реализация комплекса мер по усилению информацион-
ной безопасности информационной инфраструктуры федеральных
303
Основы информационной безопасности
органов исполнительной власти, реализующих внешнюю политику
РФ, российских представительств и организаций за рубежом, пред-
ставительств РФ при международных организациях;
• создание российским представительствам и организациям за рубе-
жом условий для работы по нейтрализации распространяемой там
дезинформации о внешней политике РФ;
• совершенствование информационного обеспечения работы по проти-
водействию нарушениям прав и свобод российских граждан и юри-
дических лиц за рубежом;
• совершенствование информационного обеспечения субъектов РФ по
вопросам внешнеполитической деятельности, которые входят в их
компетенцию.
В области науки и техники. Наиболее важными объектами обеспече-
ния информационной безопасности РФ в области науки и техники явля-
ются:
• результаты фундаментальных, поисковых и прикладных научных ис-
следований, потенциально важные для научно-технического, техно-
логического и социально-экономического развития страны, включая
сведения, утрата которых может нанести ущерб национальным инте-
ресам и престижу РФ;
• открытия, незапатентованные технологии, промышленные образцы,
полезные модели и экспериментальное оборудование;
• научно - технические кадры и система их подготовки;
• системы управления сложными исследовательскими комплексами
(ядерными реакторами, ускорителями элементарных частиц, плаз-
менными генераторами и другими).
К числу основных внешних угроз информационной безопасности РФ
в области науки и техники следует отнести:
• стремление развитых иностранных государств получить противо-
правный доступ к научно-техническим ресурсам России для исполь-
зования полученных российскими учеными результатов в собствен-
ных интересах;
• создание льготных условий на российском рынке для иностранной
научно-технической продукции и стремление развитых стран в то
же время ограничить развитие научно-технического потенциала Рос-
сии (скупка акций передовых предприятий с их последующим пере-
304
Приложение 4
профилированием, сохранение экспортно-импортных ограничений
и тому подобное);
• политику западных стран, направленную на дальнейшее разрушение
унаследованного от СССР единого научно - технического простран-
ства государств - участников Содружества Независимых Государств
за счет переориентации на западные страны их научно-технических
связей, а также отдельных, наиболее перспективных научных кол-
лективов;
• активизацию деятельности иностранных государственных и коммер-
ческих предприятий, учреждений и организаций в области промыш-
ленного шпионажа с привлечением к ней разведывательных и специ-
альных служб.
К числу основных внутренних угроз информационной безопасности
РФ в области науки и техники следует отнести:
• сохраняющуюся сложную экономическую ситуацию в России, веду-
щую к резкому снижению финансирования научно-технической дея-
тельности, временному падению престижа научно-технической сфе-
ры, утечке за рубеж идей и передовых разработок;
• неспособность предприятий национальных отраслей электронной
промышленности производить на базе новейших достижений микро-
электроники, передовых информационных технологий конкуренто-
способную наукоемкую продукцию, позволяющую обеспечить
достаточный уровень технологической независимости России от за-
рубежных стран, что приводит к вынужденному широкому использо-
ванию импортных программно-аппаратных средств при создании
и развитии в России информационной инфраструктуры;
• серьезные проблемы в области патентной защиты результатов науч-
но-технической деятельности российских ученых;
• сложности реализации мероприятий по защите информации, особен-
но на акционированных предприятиях, в научно-технических учреж-
дениях и организациях.
Реальный путь противодействия угрозам информационной безопас-
ности РФ в области науки и техники - это совершенствование законода-
тельства РФ, регулирующего отношения в данной области, и механизмов
его реализации. В этих целях государство должно способствовать созда-
нию системы оценки возможного ущерба от реализации угроз наиболее
важным объектам обеспечения информационной безопасности РФ в об-
ласти науки и техники, включая общественные научные советы и органи-
305
Основы информационной безопасности
зации независимой экспертизы, вырабатывающие рекомендации для фе-
деральных органов государственной власти и органов государственной
власти субъектов РФ по предотвращению противоправного или неэффек-
тивного использования интеллектуального потенциала России.
В сфере духовной жизни. Обеспечение информационной безопасно-
сти РФ в сфере духовной жизни имеет целью защиту конституционных
прав и свобод человека и гражданина, связанных с развитием, формиро-
ванием и поведением личности, свободой массового информирования,
использования культурного, духовно-нравственного наследия, историче-
ских традиций и норм общественной жизни, с сохранением культурного
достояния всех народов России, реализацией конституционных ограни-
чений прав и свобод человека и гражданина в интересах сохранения
и укрепления нравственных ценностей общества, традиций патриотизма
и гуманизма, здоровья граждан, культурного и научного потенциала РФ,
обеспечения обороноспособности и безопасности государства.
К числу основных объектов обеспечения информационной безопас-
ности РФ в сфере духовной жизни относятся:
• достоинство личности, свобода совести, включая право свободно вы-
бирать, иметь и распространять религиозные и иные убеждения
и действовать в соответствии с ними, свобода мысли и слова (за ис-
ключением пропаганды или агитации, возбуждающих социальную,
расовую, национальную или религиозную ненависть и вражду),
а также свобода литературного, художественного, научного, техни-
ческого и других видов творчества, преподавания;
• свобода массовой информации;
• неприкосновенность частной жизни, личная и семейная тайна;
• русский язык как фактор духовного единения народов многонацио-
нальной России, язык межгосударственного общения народов госу-
дарств - участников Содружества Независимых Государств;
• языки, нравственные ценности и культурное наследие народов и на-
родностей РФ;
• объекты интеллектуальной собственности.
Наибольшую опасность в сфере духовной жизни представляют сле-
дующие угрозы информационной безопасности РФ:
• деформация системы массового информирования как за счет моно-
полизации средств массовой информации, так и за счет неконтроли-
руемого расширения сектора зарубежных средств массовой инфор-
мации в отечественном информационном пространстве;
306
Приложение 4
• ухудшение состояния и постепенный упадок объектов российского
культурного наследия, включая архивы, музейные фонды, библиоте-
ки, памятники архитектуры, ввиду недостаточного финансирования
соответствующих программ и мероприятий;
• возможность нарушения общественной стабильности, нанесение
вреда здоровью и жизни граждан вследствие деятельности религиоз-
ных объединений, проповедующих религиозный фундаментализм,
а также тоталитарных религиозных сект;
• использование зарубежными специальными службами средств мас-
совой информации, действующих на территории РФ, для нанесения
ущерба обороноспособности страны и безопасности государства,
распространения дезинформации;
• неспособность современного гражданского общества России обеспе-
чить формирование у подрастающего поколения и поддержание
в обществе общественно необходимых нравственных ценностей,
патриотизма и гражданской ответственности за судьбу страны.
Основными направлениями обеспечения информационной безопас-
ности РФ в сфере духовной жизни являются:
• развитие в России основ гражданского общества;
• создание социально-экономических условий для осуществления творче-
ской деятельности и функционирования учреждений культуры;
• выработка цивилизованных форм и способов общественного контро-
ля за формированием в обществе духовных ценностей, отвечающих
национальным интересам страны, воспитанием патриотизма и граж-
данской ответственности за ее судьбу;
• совершенствование законодательства РФ, регулирующего отношения
в области конституционных ограничений прав и свобод человека
и гражданина;
• государственная поддержка мероприятий по сохранению и возрож-
дению культурного наследия народов и народностей РФ;
• формирование правовых и организационных механизмов обеспече-
ния конституционных прав и свобод граждан, повышения их право-
вой культуры в интересах противодействия сознательному или не-
преднамеренному нарушению этих конституционных прав и свобод
в сфере духовной жизни;
• разработка действенных организационно-правовых механизмов дос-
тупа средств массовой информации и граждан к открытой информа-
307
Основы информационной безопасности
ции о деятельности федеральных органов государственной власти и
общественных объединений, обеспечение достоверности сведений о
социально значимых событиях общественной жизни, распространяе-
мых через средства массовой информации;
• разработка специальных правовых и организационных механизмов
недопущения противоправных информационно-психологических
воздействий на массовое сознание общества, неконтролируемой
коммерциализации культуры и науки, а также обеспечивающих со-
хранение культурных и исторических ценностей народов и народно-
стей РФ, рациональное использование накопленных обществом ин-
формационных ресурсов, составляющих национальное достояние;
• введение запрета на использование эфирного времени в электронных
средствах массовой информации для проката программ, пропаганди-
рующих насилие и жестокость, антиобщественное поведение;
• противодействие негативному влиянию иностранных религиозных
организаций и миссионеров.
В общегосударственных информационных и телекоммуникационных
системах. Основными объектами обеспечения информационной безопас-
ности РФ в общегосударственных информационных и телекоммуникаци-
онных системах являются:
• информационные ресурсы, содержащие сведения, отнесенные к го-
сударственной тайне, и конфиденциальную информацию;
• средства и системы информатизации (средства вычислительной тех-
ники, информационно-вычислительные комплексы, сети и системы),
программные средства (операционные системы, системы управления
базами данных, другое общесистемное и прикладное программное
обеспечение), автоматизированные системы управления, системы
связи и передачи данных, осуществляющие прием, обработку, хране-
ние и передачу информации ограниченного доступа, их информатив-
ные физические поля;
• технические средства и системы, обрабатывающие открытую инфор-
мацию, но размещенные в помещениях, в которых обрабатывается
информация ограниченного доступа, а также сами помещения,
предназначенные для обработки такой информации;
• помещения, предназначенные для ведения закрытых переговоров,
а также переговоров, в ходе которых оглашаются сведения ограни-
ченного доступа.
308
11ри.южение 4
Основными угрозами информационной безопасности РФ в общего-
сударственных информационных и телекоммуникационных системах яв-
ляются:
• деятельность специальных служб иностранных государств, преступ-
ных сообществ, организаций и групп, противозаконная деятельность
отдельных лиц, направленная на получение несанкционированного
доступа к информации и осуществление контроля за функциониро-
ванием информационных и телекоммуникационных систем;
• вынужденное в силу объективного отставания отечественной про-
мышленности использование при создании и развитии информаци-
онных и телекоммуникационных систем импортных программно-
аппаратных средств;
• нарушение установленного регламента сбора, обработки и передачи
информации, преднамеренные действия и ошибки персонала инфор-
мационных и телекоммуникационных систем, отказ технических
средств и сбои программного обеспечения в информационных и те-
лекоммуникационных системах;
• использование несертифицированных в соответствии с требованиями
безопасности средств и систем информатизации и связи, а также
средств защиты информации и контроля их эффективности;
• привлечение к работам по созданию, развитию и защите информаци-
онных и телекоммуникационных систем организаций и фирм, не
имеющих государственных лицензий на осуществление этих видов
деятельности.
Основными направлениями обеспечения информационной безопас-
ности РФ в общегосударственных информационных и телекоммуникаци-
онных системах являются:
• предотвращение перехвата информации из помещений и с объектов,
а также информации, передаваемой по каналам связи с помощью
технических средств;
• исключение несанкционированного доступа к обрабатываемой или
хранящейся в технических средствах информации;
• предотвращение утечки информации по техническим каналам, воз-
никающей при эксплуатации технических средств ее обработки, хра-
нения и передачи;
• предотвращение специальных программно-технических воздействий,
вызывающих разрушение, уничтожение, искажение информации или
сбои в работе средств информатизации;
309
Основы информационной безопасности
• обеспечение информационной безопасности при подключении обще-
государственных информационных и телекоммуникационных систем
к внешним информационным сетям, включая международные;
• обеспечение безопасности конфиденциальной информации при
взаимодействии информационных и телекоммуникационных систем
различных классов защищенности;
• выявление внедренных на объекты и в технические средства элек-
тронных устройств перехвата информации.
Основными организационно-техническими мероприятиями по защи-
те информации в общегосударственных информационных и телекомму-
никационных системах являются:
• лицензирование деятельности организаций в области защиты инфор-
мации;
• аттестация объектов информатизации по выполнению требований
обеспечения защиты информации при проведении работ, связанных
с использованием сведений, составляющих государственную тайну;
• сертификация средств защиты информации и контроля эффективно-
сти их использования, а также защищенности информации от утечки
по техническим каналам систем и средств информатизации и связи;
• введение территориальных, частотных, энергетических, пространст-
венных и временных ограничений в режимах использования техни-
ческих средств, подлежащих защите;
• создание и применение информационных и автоматизированных
систем управления в защищенном исполнении.
В сфере обороны. К объектам обеспечения информационной безо-
пасности РФ в сфере обороны относятся:
• информационная инфраструктура центральных органов военного
управления и органов военного управления видов Вооруженных Сил
РФ и родов войск, объединений, соединений, воинских частей и ор-
ганизаций, входящих в Вооруженные Силы РФ, научно-исследова-
тельских учреждений Министерства обороны РФ;
• информационные ресурсы предприятий оборонного комплекса и на-
учно-исследовательских учреждений, выполняющих государственные
оборонные заказы либо занимающихся оборонной проблематикой;
• программно-технические средства автоматизированных и автомати-
ческих систем управления войсками и оружием, вооружения и воен-
ной техники, оснащенных средствами информатизации;
310
Приложение 4
• информационные ресурсы, системы связи и информационная инфра-
структура других войск, воинских формирований и органов.
Внешними угрозами, представляющими наибольшую опасность для
объектов обеспечения информационной безопасности РФ в сфере оборо-
ны, являются:
• все виды разведывательной деятельности зарубежных государств;
• информационно-технические воздействия (в том числе радиоэлек-
тронная борьба, проникновение в компьютерные сети) со стороны
вероятных противников;
• диверсионно-подрывная деятельность специальных служб иностран-
ных государств, осуществляемая методами информационно-психоло-
гического воздействия;
• деятельность иностранных политических, экономических и военных
структур, направленная против интересов РФ в сфере обороны.
Внутренними угрозами, представляющими наибольшую опасность
для указанных объектов, являются:
• нарушение установленного регламента сбора, обработки, хранения
и передачи информации, находящейся в штабах и учреждениях Ми-
нистерства обороны РФ, на предприятиях оборонного комплекса;
• преднамеренные действия, а также ошибки персонала информацион-
ных и телекоммуникационных систем специального назначения;,
• ненадежное функционирование информационных и телекоммуника-
ционных систем специального назначения;
• возможная информационно-пропагандистская деятельность, подры-
вающая престиж Вооруженных Сил РФ и их боеготовность;
• нерешенность вопросов защиты интеллектуальной собственности
предприятий оборонного комплекса, приводящая к утечке за рубеж
ценнейших государственных информационных ресурсов;
• нерешенность вопросов социальной защиты военнослужащих и чле-
нов их семей.
Перечисленные внутренние угрозы будут представлять особую опас-
ность в условиях обострения военно-политической обстановки.
Главными специфическими направлениями совершенствования сис-
темы обеспечения информационной безопасности РФ в сфере обороны
являются:
311
Основы информационной безопасности
• систематическое выявление угроз и их источников, структуризация
целей обеспечения информационной безопасности в сфере обороны
и определение соответствующих практических задач;
• проведение сертификации общего и специального программного
обеспечения, пакетов прикладных программ и средств защиты ин-
формации в существующих и создаваемых автоматизированных сис-
темах управления военного назначения и системах связи, имеющих
в своем составе элементы вычислительной техники;
• постоянное совершенствование средств защиты информации от не-
санкционированного доступа, развитие защищенных систем связи
и управления войсками и оружием, повышение надежности специ-
ального программного обеспечения;
• совершенствование структуры функциональных органов системы
обеспечения информационной безопасности в сфере обороны и ко-
ординация их взаимодействия;
• совершенствование приемов и способов стратегической и оператив-
ной маскировки, разведки и радиоэлектронной борьбы, методов
и средств активного противодействия информационно-пропаганди-
стским и психологическим операциям вероятного противника;
• подготовка специалистов в области обеспечения информационной
безопасности в сфере обороны.
В правоохранительной и судебной сферах. К наиболее важным объ-
ектам обеспечения информационной безопасности в правоохранительной
и судебной сферах относятся:
• информационные ресурсы федеральных органов исполнительной
власти, реализующих правоохранительные функции, судебных орга-
нов, их информационно-вычислительных центров, научно-исследова-
тельских учреждений и учебных заведений, содержащие специаль-
ные сведения и оперативные данные служебного характера;
• информационно-вычислительные центры, их информационное, тех-
ническое, программное и нормативное обеспечение;
• информационная инфраструктура (информационно-вычислительные
сети, пункты управления, узлы и линии связи).
Внешними угрозами, представляющими наибольшую опасность для
объектов обеспечения информационной безопасности в правоохрани-
тельной и судебной сферах, являются:
312
Приложение 4
• разведывательная деятельность специальных служб иностранных го-
сударств, международных преступных сообществ, организаций и
групп, связанная со сбором сведений, раскрывающих задачи, планы
деятельности, техническое оснащение, методы работы и места дис-
локации специальных подразделений и органов внутренних дел РФ;
• деятельность иностранных государственных и частных коммерче-
ских структур, стремящихся получить несанкционированный доступ
к информационным ресурсам правоохранительных и судебных орга-
нов.
Внутренними угрозами, представляющими наибольшую опасность
для указанных объектов, являются:
• нарушение установленного регламента сбора, обработки, хранения и
передачи информации, содержащейся в картотеках и автоматизиро-
ванных банках данных и использующейся для расследования престу-
плений;
• недостаточность законодательного и нормативного регулирования
информационного обмена в правоохранительной и судебной сферах;
• отсутствие единой методологии сбора, обработки и хранения инфор-
мации оперативно-разыскного, справочного, криминалистического и
статистического характера;
• отказ технических средств и сбои программного обеспечения в ин-
формационных и телекоммуникационных системах;
• преднамеренные действия, а также ошибки персонала, непосредст-
венно занятого формированием и ведением картотек и автоматизиро-
ванных банков данных.
Наряду с широко используемыми общими методами и средствами
защиты информации применяются также специфические методы и сред-
ства обеспечения информационной безопасности в правоохранительной
и судебной сферах.
Главными из них являются:
• создание защищенной многоуровневой системы интегрированных
банков данных оперативно-разыскного, справочного, криминалисти-
ческого и статистического характера на базе специализированных
информационно-телекоммуникационных систем;
• повышение уровня профессиональной и специальной подготовки
пользователей информационных систем.
313
Основы информационной безопасности
В условиях чрезвычайных ситуаций. Наиболее уязвимыми объектами
обеспечения информационной безопасности РФ в условиях чрезвычай-
ных ситуаций являются система принятия решений по оперативным дей-
ствиям (реакциям), связанным с развитием таких ситуаций и ходом лик-
видации их последствий, а также система сбора и обработки информации
о возможном возникновении чрезвычайных ситуаций.
Особое значение для нормального функционирования указанных
объектов имеет обеспечение безопасности информационной инфраструк-
туры страны при авариях, катастрофах и стихийных бедствиях. Сокры-
тие, задержка поступления, искажение и разрушение оперативной ин-
формации, несанкционированный доступ к ней отдельных лиц или групп
лиц могут привести как к человеческим жертвам, так и к возникновению
разного рода сложностей при ликвидации последствий чрезвычайной си-
туации, связанных с особенностями информационного воздействия в экс-
тремальных условиях: к приведению в движение больших масс людей,
испытывающих психический стресс; к быстрому возникновению и рас-
пространению среди них паники и беспорядков на основе слухов, ложной
или недостоверной информации.
К специфическим для данных условий направлениям обеспечения
информационной безопасности относятся:
• разработка эффективной системы мониторинга объектов повышен-
ной опасности, нарушение функционирования которых может при-
вести к возникновению чрезвычайных ситуаций, и прогнозирования
чрезвычайных ситуаций;
• совершенствование системы информирования населения об угрозах
возникновения чрезвычайных ситуаций, об условиях их возникнове-
ния и развития;
• повышение надежности систем обработки и передачи информации,
обеспечивающих деятельность федеральных органов исполнитель-
ной власти;
• прогнозирование поведения населения под воздействием ложной или
недостоверной информации о возможных чрезвычайных ситуациях
и выработка мер по оказанию помощи большим массам людей в ус-
ловиях этих ситуаций;
• разработка специальных мер по защите информационных систем,
обеспечивающих управление экологически опасными и экономиче-
ски важными производствами.
314
Приложение 4
7. Международное сотрудничество Российской Федерации
в области обеспечения информационной безопасности
Международное сотрудничество РФ в области обеспечения инфор-
мационной безопасности - неотъемлемая составляющая политического,
военного, экономического, культурного и других видов взаимодействия
стран, входящих в мировое сообщество. Такое сотрудничество должно
способствовать повышению информационной безопасности всех членов
мирового сообщества, включая РФ.
Особенность международного сотрудничества РФ в области обеспе-
чения информационной безопасности состоит в том, что оно осуществля-
ется в условиях обострения международной конкуренции за обладание
технологическими и информационными ресурсами, за доминирование
на рынках сбыта, в условиях продолжения попыток создания структуры
международных отношений, основанной на односторонних решениях
ключевых проблем мировой политики, противодействия укреплению ро-
ли России как одного из влиятельных центров формирующегося много-
полярного мира, усиления технологического отрыва ведущих держав ми-
ра и наращивания их возможностей для создания «информационного
оружия». Все это может привести к новому этапу развертывания гонки
вооружений в информационной сфере, нарастанию угрозы агентурного
и оперативно-технического проникновения в Россию иностранных разве-
док, в том числе с использованием глобальной информационной инфра-
структуры.
Основными направлениями международного сотрудничества РФ
в области обеспечения информационной безопасности являются:
• запрещение разработки, распространения и применения «информа-
ционного оружия»;
• обеспечение безопасности международного информационного обме-
на, в том числе сохранности информации при ее передаче по нацио-
нальным телекоммуникационным каналам и каналам связи;
• координация деятельности правоохранительных органов стран, вхо-
дящих в мировое сообщество, по предотвращению компьютерных
преступлений;
• предотвращение несанкционированного доступа к конфиденциаль-
ной информации в международных банковских телекоммуникацион-
ных сетях и системах информационного обеспечения мировой
торговли, к информации международных правоохранительных орга-
низаций, ведущих борьбу с транснациональной организованной пре-
ступностью, международным терроризмом, распространением нар-
315
Основы информационной безопасности
котиков и психотропных веществ, незаконной торговлей оружием
и расщепляющимися материалами, а также торговлей людьми.
При осуществлении международного сотрудничества РФ в области
обеспечения информационной безопасности особое внимание должно
уделяться проблемам взаимодействия с государствами - участниками
Содружества Независимых Государств.
Для осуществления этого сотрудничества по указанным основным
направлениям необходимо обеспечить активное участие России во всех
международных организациях, осуществляющих деятельность в области
информационной безопасности, в том числе в сфере стандартизации
и сертификации средств информатизации и защиты информации.
III. Основные положения государственной
политики обеспечения информационной
безопасности Российской Федерации и
первоочередные мероприятия по ее реализации
8. Основные положения государственной политики
обеспечения информационной безопасности Российской
Федерации
Государственная политика обеспечения информационной безопасно-
сти РФ определяет основные направления деятельности федеральных ор-
ганов государственной власти и органов государственной власти субъек-
тов РФ в этой области, порядок закрепления их обязанностей по защите
интересов РФ в информационной сфере в рамках направлений их дея-
тельности и базируется на соблюдении баланса интересов личности, об-
щества и государства в информационной сфере.
Государственная политика обеспечения информационной безопасно-
сти РФ основывается на следующих основных принципах:
• соблюдение Конституции РФ, законодательства РФ, общепризнан-
ных принципов и норм международного права при осуществлении
деятельности по обеспечению информационной безопасности РФ;
• открытость в реализации функций федеральных органов государст-
венной власти, органов государственной власти субъектов РФ и об-
щественных объединений, предусматривающая информирование
общества об их деятельности с учетом ограничений, установленных
законодательством РФ;
316
Приложение 4
• правовое равенство всех участников процесса информационного
взаимодействия вне зависимости от их политического, социального
и экономического статуса, основывающееся на конституционном
праве граждан на свободный поиск, получение, передачу, производ-
ство и распространение информации любым законным способом;
• приоритетное развитие отечественных современных информацион-
ных и телекоммуникационных технологий, производство техниче-
ских и программных средств, способных обеспечить совершенство-
вание национальных телекоммуникационных сетей, их подключение
к глобальным информационным сетям в целях соблюдения жизненно
важных интересов РФ.
Государство в процессе реализации своих функций по обеспечению
информационной безопасности РФ:
• проводит объективный и всесторонний анализ и прогнозирование уг-
роз информационной безопасности РФ, разрабатывает меры по ее
обеспечению;
• организует работу законодательных (представительных) и исполни-
тельных органов государственной власти РФ по реализации ком-
плекса мер, направленных на предотвращение, отражение и нейтра-
лизацию угроз информационной безопасности РФ;
• поддерживает деятельность общественных объединений, направлен-
ную на объективное информирование населения о социально значи-
мых явлениях общественной жизни, защиту общества от искаженной
и недостоверной информации;
• осуществляет контроль за разработкой, созданием, развитием, ис-
пользованием, экспортом и импортом средств защиты информации
посредством их сертификации и лицензирования деятельности в об-
ласти защиты информации;
• проводит необходимую протекционистскую политику в отношении
производителей средств информатизации и зашиты информации
на территории РФ и принимает меры по защите внутреннего рынка
от проникновения на него некачественных средств информатизации
и информационных продуктов;
• способствует предоставлению физическим и юридическим лицам
доступа к мировым информационным ресурсам, глобальным инфор-
мационным сетям;
• формулирует и реализует государственную информационную поли-
тику России;
317
Основы информационной безопасности
• организует разработку федеральной программы обеспечения инфор-
мационной безопасности РФ, объединяющей усилия государствен-
ных и негосударственных организаций в данной области;
• способствует интернационализации глобальных информационных
сетей и систем, а также вхождению России в мировое информацион-
ное сообщество на условиях равноправного партнерства.
Совершенствование правовых механизмов регулирования общест-
венных отношений, возникающих в информационной сфере, является
приоритетным направлением государственной политики в области обес-
печения информационной безопасности РФ.
Это предполагает:
• оценку эффективности применения действующих законодательных
и иных нормативных правовых актов в информационной сфере и вы-
работку программы их совершенствования;
• создание организационно-правовых механизмов обеспечения инфор-
мационной безопасности;
• определение правового статуса всех субъектов отношений в инфор-
мационной сфере, включая пользователей информационных и теле-
коммуникационных систем, и установление их ответственности
за соблюдение законодательства РФ в данной сфере;
• создание системы сбора и анализа данных об источниках угроз ин-
формационной безопасности РФ, а также о последствиях их осуще-
ствления;
• разработку нормативных правовых актов, определяющих организа-
цию следствия и процедуру судебного разбирательства по фактам
противоправных действий в информационной сфере, а также порядок
ликвидации последствий этих противоправных действий;
• разработку составов правонарушений с учетом специфики уголов-
ной, гражданской, административной, дисциплинарной ответствен-
ности и включение соответствующих правовых норм в уголовный,
гражданский, административный и трудовой кодексы, в законода-
тельство РФ о государственной службе;
• совершенствование системы подготовки кадров, используемых в об-
ласти обеспечения информационной безопасности РФ.
Правовое обеспечение информационной безопасности РФ должно ба-
зироваться, прежде всего, на соблюдении принципов законности, баланса
интересов граждан, общества и государства в информационной сфере.
318
11ри.10женис -1
Соблюдение принципа законности требует от федеральных органов
государственной власти и органов государственной власти субъектов РФ
при решении возникающих в информационной сфере конфликтов не-
укоснительно руководствоваться законодательными и иными норматив-
ными правовыми актами, регулирующими отношения в этой сфере.
Соблюдение принципа баланса интересов граждан, общества и госу-
дарства в информационной сфере предполагает законодательное закреп-
ление приоритета этих интересов в различных областях жизнедеятельно-
сти общества, а также использование форм общественного контроля дея-
тельности федеральных органов государственной власти и органов
государственной власти субъектов РФ. Реализация гарантий конституци-
онных прав и свобод человека и гражданина, касающихся деятельности
в информационной сфере, является важнейшей задачей государства в об-
ласти информационной безопасности.
Разработка механизмов правового обеспечения информационной
безопасности РФ включает в себя мероприятия по информатизации пра-
вовой сферы в целом.
В целях выявления и согласования интересов федеральных органов
государственной власти, органов государственной власти субъектов РФ
и других субъектов отношений в информационной сфере, выработки не-
обходимых решений государство поддерживает формирование общест-
венных советов, комитетов и комиссий с широким представительством
общественных объединений и содействует организации их эффективной
работы.
9. Первоочередные мероприятия по реализации
государственной политики обеспечения
информационной безопасности Российской Федерации
Первоочередными мероприятиями по реализации государственной
политики обеспечения информационной безопасности РФ являются:
• разработка и внедрение механизмов реализации правовых норм, ре-
гулирующих отношения в информационной сфере, а также подготов-
ка концепции правового обеспечения информационной безопасности
РФ;
• разработка и реализация механизмов повышения эффективности го-
сударственного руководства деятельностью государственных средств
массовой информации, осуществления государственной информаци-
онной политики;
319
Основы информационной безопасности
• принятие и реализация федеральных программ, предусматривающих
формирование общедоступных архивов информационных ресурсов
федеральных органов государственной власти и органов государст-
венной власти субъектов РФ, повышение правовой культуры и ком-
пьютерной грамотности граждан, развитие инфраструктуры единого
информационного пространства России, комплексное противодейст-
вие угрозам информационной войны, создание безопасных информа-
ционных технологий для систем, используемых в процессе реализа-
ции жизненно важных функций общества и государства, пресечение
компьютерной преступности, создание информационно-телекомму-
никационной системы специального назначения в интересах феде-
ральных органов государственной власти и органов государственной
власти субъектов РФ, обеспечение технологической независимости
страны в области создания и эксплуатации информационно-теле-
коммуникационных систем оборонного назначения;
• развитие системы подготовки кадров, используемых в области обес-
печения информационной безопасности РФ;
• гармонизация отечественных стандартов в области информатизации
и обеспечения информационной безопасности автоматизированных
систем управления, информационных и телекоммуникационных сис-
тем общего и специального назначения.
IV. Организационная основа системы
обеспечения информационной безопасности
Российской Федерации
10. Основные функции системы обеспечения
информационной безопасности Российской Федерации
Система обеспечения информационной безопасности РФ предназна-
чена для реализации государственной политики в данной сфере.
Основными функциями системы обеспечения информационной безо-
пасности РФ являются:
• разработка нормативной правовой базы в области обеспечения ин-
формационной безопасности РФ;
• создание условий для реализации прав граждан и общественных объ-
единений на разрешенную законом деятельность в информационной
сфере;
320
Приложение 4
определение и поддержание баланса между потребностью граждан,
общества и государства в свободном обмене информацией и необхо-
димыми ограничениями на распространение информации;
оценка состояния информационной безопасности РФ, выявление ис-
точников внутренних и внешних угроз информационной безопасно-
сти, определение приоритетных направлений предотвращения, отра-
жения и нейтрализации этих угроз;
координация деятельности федеральных органов государственной
власти и других государственных органов, решающих задачи обеспе-
чения информационной безопасности РФ;
контроль деятельности федеральных органов государственной власти
и органов государственной власти субъектов РФ, государственных
и межведомственных комиссий, участвующих в решении задач обес-
печения информационной безопасности РФ;
предупреждение, выявление и пресечение правонарушений, связан-
ных с посягательствами на законные интересы граждан, общества
и государства в информационной сфере, на осуществление судопро-
изводства по делам о преступлениях в этой области;
развитие отечественной информационной инфраструктуры, а также
индустрии телекоммуникационных и информационных средств, по-
вышение их конкурентоспособности на внутреннем и внешнем рынке;
организация разработки федеральной и региональных программ
обеспечения информационной безопасности и координация деятель-
ности по их реализации;
проведение единой технической политики в области обеспечения
информационной безопасности РФ;
организация фундаментальных и прикладных научных исследований
в области обеспечения информационной безопасности РФ;
защита государственных информационных ресурсов, прежде всего
в федеральных органах государственной власти и органах государст-
венной власти субъектов РФ, на предприятиях оборонного комплекса;
обеспечение контроля за созданием и использованием средств защи-
ты информации посредством обязательного лицензирования деятель-
ности в данной сфере и сертификации средств защиты информации;
совершенствование и развитие единой системы подготовки кадров,
используемых в области информационной безопасности РФ;
321
Основы информационной безопасности
• осуществление международного сотрудничества в сфере обеспечения
информационной безопасности, представление интересов РФ в соот-
ветствующих международных организациях.
Компетенция федеральных органов государственной власти, органов
государственной власти субъектов РФ, других государственных органов,
входящих в состав системы обеспечения информационной безопасности
РФ и ее подсистем, определяется федеральными законами, нормативны-
ми правовыми актами Президента РФ и Правительства РФ.
Функции органов, координирующих деятельность федеральных ор-
ганов государственной власти, органов государственной власти субъек-
тов РФ, других государственных органов, входящих в состав системы
обеспечения информационной безопасности РФ и ее подсистем, опреде-
ляются отдельными нормативными правовыми актами РФ.
11. Основные элементы организационной основы
системы обеспечения информационной безопасности
Российской Федерации
Система обеспечения информационной безопасности РФ является
частью системы обеспечения национальной безопасности страны.
Система обеспечения информационной безопасности РФ строится на
основе разграничения полномочий органов законодательной, исполни-
тельной и судебной власти в данной сфере, а также предметов ведения
федеральных органов государственной власти и органов государственной
власти субъектов РФ.
Основными элементами организационной основы системы обеспече-
ния информационной безопасности РФ являются: Президент РФ, Совет
Федерации Федерального Собрания РФ, Государственная Дума Феде-
рального Собрания РФ, Правительство РФ, Совет Безопасности РФ, фе-
деральные органы исполнительной власти, межведомственные и государ-
ственные комиссии, создаваемые Президентом РФ и Правительством РФ,
органы исполнительной власти субъектов РФ, органы местного само-
управления, органы судебной власти, общественные объединения, граж-
дане, принимающие в соответствии с законодательством РФ участие
в решении задач обеспечения информационной безопасности РФ.
Президент РФ руководит в пределах своих конституционных полно-
мочий органами и силами по обеспечению информационной безопасно-
сти РФ; санкционирует действия по обеспечению информационной безо-
пасности РФ; в соответствии с законодательством РФ формирует, реор-
ганизует и упраздняет подчиненные ему органы и силы по обеспечению
322
Приложение 4
информационной безопасности РФ; определяет в своих ежегодных по-
сланиях Федеральному Собранию приоритетные направления государст-
венной политики в области обеспечения информационной безопасности
РФ, а также меры по реализации настоящей Доктрины.
Палаты Федерального Собрания РФ на основе Конституции РФ по
представлению Президента РФ и Правительства РФ формируют законо-
дательную базу в области обеспечения информационной безопасности РФ.
Правительство РФ в пределах своих полномочий и с учетом сформу-
лированных в ежегодных посланиях Президента РФ Федеральному Соб-
ранию приоритетных направлений в области обеспечения информацион-
ной безопасности РФ координирует деятельность федеральных органов
исполнительной власти и органов исполнительной власти субъектов РФ,
а также при формировании в установленном порядке проектов федераль-
ного бюджета на соответствующие годы предусматривает выделение
средств, необходимых для реализации федеральных программ в этой об-
ласти.
Совет Безопасности РФ проводит работу по выявлению и оценке уг-
роз информационной безопасности РФ, оперативно подготавливает про-
екты решений Президента РФ по предотвращению таких угроз, разраба-
тывает предложения в области обеспечения информационной безопасно-
сти РФ, а также предложения по уточнению отдельных положений
настоящей Доктрины, координирует деятельность органов и сил по обес-
печению информационной безопасности РФ, контролирует реализацию
федеральными органами исполнительной власти и органами исполни-
тельной власти субъектов РФ решений Президента РФ в этой области.
Федеральные органы исполнительной власти обеспечивают исполне-
ние законодательства РФ, решений Президента РФ и Правительства РФ
в области обеспечения информационной безопасности РФ; в пределах
своей компетенции разрабатывают нормативные правовые акты в этой
области и представляют их в установленном порядке Президенту РФ
и в Правительство РФ.
Межведомственные и государственные комиссии, создаваемые Пре-
зидентом РФ и Правительством РФ, решают в соответствии с предостав-
ленными им полномочиями задачи обеспечения информационной безо-
пасности РФ.
Органы исполнительной власти субъектов РФ взаимодействуют
с федеральными органами исполнительной власти по вопросам исполне-
ния законодательства РФ, решений Президента РФ и Правительства РФ
в области обеспечения информационной безопасности РФ, а также по во-
просам реализации федеральных программ в этой области; совместно
с органами местного самоуправления осуществляют мероприятия
323
Основы информационной безопасности
по привлечению граждан, организаций и общественных объединений
к оказанию содействия в решении проблем обеспечения информацион-
ной безопасности РФ; вносят в федеральные органы исполнительной вла-
сти предложения по совершенствованию системы обеспечения информа-
ционной безопасности РФ.
Органы местного самоуправления обеспечивают соблюдение законо-
дательства РФ в области обеспечения информационной безопасности РФ.
Органы судебной власти осуществляют правосудие по делам о пре-
ступлениях, связанных с посягательствами на законные интересы лично-
сти, общества и государства в информационной сфере, и обеспечивают
судебную защиту граждан и общественных объединений, чьи права были
нарушены в связи с деятельностью по обеспечению информационной
безопасности РФ.
В состав системы обеспечения информационной безопасности РФ
могут входить подсистемы (системы), ориентированные на решение ло-
кальных задач в данной сфере.
Реализация первоочередных мероприятий по обеспечению информа-
ционной безопасности РФ, перечисленных в настоящей Доктрине, пред-
полагает разработку соответствующей федеральной программы. Конкре-
тизация некоторых положений настоящей Доктрины применительно
к отдельным сферам деятельности общества и государства может быть
осуществлена в соответствующих документах, утверждаемых Президен-
том РФ.
324
Приложение 5
ФЕДЕРАЛЬНЫЙ ЗАКОН
РОССИЙСКОЙ ФЕДЕРАЦИИ
«ОБ ИНФОРМАЦИИ, ИНФОРМАТИЗАЦИИ
И ЗАЩИТЕ ИНФОРМАЦИИ»
от 20 февраля 1995 г. № 24-ФЗ
Принят Государственной Думой 25 января 1995 г.
Глава 1. Общие положения
Статья 1. Сфера действия настоящего Федерального
закона
1. Настоящий Федеральный закон регулирует отношения, возникаю-
щие при:
• формировании и использовании информационных ресурсов на осно-
ве создания, сбора, обработки, накопления, хранения, поиска, рас-
пространения и предоставления потребителю документированной
информации;
• создании и использовании информационных технологий и средств их
обеспечения;
• защите информации, прав субъектов, участвующих в информацион-
ных процессах и информатизации.
2. Настоящий Федеральный закон не затрагивает отношений, регули-
руемых Законом РФ «Об авторском праве и смежных правах».
Статья 2. Термины, используемые в настоящем
Федеральном законе, их определения
В настоящем Федеральном законе используются следующие понятия:
• информация - сведения о лицах, предметах, фактах, событиях, яв-
лениях и процессах независимо от формы их представления;
325
Основы информационной безопасности
информатизация - организационный социально-экономический
и научно-технический процесс создания оптимальных условий для
удовлетворения информационных потребностей и реализации прав
граждан, органов государственной власти, органов местного само-
управления, организаций, общественных объединений на основе
формирования и использования информационных ресурсов;
документированная информация (документ) - зафиксированная
на материальном носителе информация с реквизитами, позволяющи-
ми ее идентифицировать;
информационные процессы - процессы сбора, обработки, накопле-
ния, хранения, поиска и распространения информации;
информационная система - организационно упорядоченная сово-
купность документов (массивов документов) и информационных
технологий, в том числе с использованием средств вычислительной
техники и связи, реализующих информационные процессы;
информационные ресурсы - отдельные документы и отдельные
массивы документов, документы и массивы документов в информа-
ционных системах (библиотеках, архивах, фондах, банках данных,
других информационных системах);
информация о гражданах (персональные данные) - сведения
о фактах, событиях и обстоятельствах жизни гражданина, позволяю-
щие идентифицировать его личность;
конфиденциальная информация - документированная информа-
ция, доступ к которой ограничивается в соответствии с законода-
тельством РФ;
средства обеспечения автоматизированных информационных
систем и их технологий - программные, технические, лингвистиче-
ские, правовые, организационные средства (программы для элек-
тронных вычислительных машин; средства вычислительной техники
и связи; словари, тезаурусы и классификаторы; инструкции и мето-
дики; положения, уставы, должностные инструкции; схемы и их опи-
сания, другая эксплуатационная и сопроводительная документация),
используемые или создаваемые при проектировании информацион-
ных систем и обеспечивающие их эксплуатацию;
собственник информационных ресурсов, информационных сис-
тем, технологий и средств их обеспечения - субъект, в полном
объеме реализующий полномочия владения, пользования, распоря-
жения указанными объектами;
326
Приложение 5
• владелец информационных ресурсов, информационных систем,
технологий и средств их обеспечения - субъект, осуществляющий
владение и пользование указанными объектами и реализующий пол-
номочия распоряжения в пределах, установленных законом;
• пользователь (потребитель) информации - субъект, обращающий-
ся к информационной системе или посреднику за получением необ-
ходимой ему информации и пользующийся ею.
Статья 3. Обязанности государства в сфере формирования
информационных ресурсов и информатизации
1. Государственная политика в сфере формирования информацион-
ных ресурсов и информатизации направлена на создание условий для
эффективного и качественного информационного обеспечения решения
стратегических и оперативных задач социального и экономического раз-
вития РФ.
2. Основными направлениями государственной политики в сфере
информатизации являются:
• обеспечение условий для развития и защиты всех форм собственно-
сти на информационные ресурсы;
• формирование и защита государственных информационных ресурсов;
• создание и развитие федеральных и региональных информационных
систем и сетей, обеспечение их совместимости и взаимодействия
в едином информационном пространстве РФ;
• создание условий для качественного и эффективного информацион-
ного обеспечения граждан, органов государственной власти, органов
местного самоуправления, организаций и общественных объедине-
ний на основе государственных информационных ресурсов;
• обеспечение национальной безопасности в сфере информатизации,
а также обеспечение реализации прав граждан, организаций в усло-
виях информатизации;
• содействие формированию рынка информационных ресурсов, услуг,
информационных систем, технологий, средств их обеспечения;
• формирование и осуществление единой научно-технической и про-
мышленной политики в сфере информатизации с учетом современ-
ного мирового уровня развития информационных технологий;
• поддержка проектов и программ информатизации;
327
Основы информационной безопасности
• создание и совершенствование системы привлечения инвестиций
и механизма стимулирования разработки и реализация проектов ин-
форматизации;
• развитие законодательства в сфере информационных процессов, ин-
форматизации и защиты информации.
Глава 2. Информационные ресурсы
Статья 4. Основы правового режима информационных
ресурсов
1. Информационные ресурсы являются объектами отношений физи-
ческих, юридических лиц, государства, составляют информационные ре-
сурсы России и защищаются законом наряду с другими ресурсами.
2. Правовой режим информационных ресурсов определяется норма-
ми, устанавливающими:
• порядок документирования информации;
• право собственности на отдельные документы и отдельные массивы
документов, документы и массивы документов в информационных
системах;
• категорию информации по уровню доступа к ней;
• порядок правовой защиты информации.
Статья 5. Документирование информации
1. Документирование информации является обязательным условием
включения информации в информационные ресурсы. Документирование
информации осуществляется в порядке, устанавливаемом органами госу-
дарственной власти, ответственными за организацию делопроизводства,
стандартизацию документов и их массивов, безопасность РФ.
2. Документ, полученный из автоматизированной информационной
системы, приобретает юридическую силу после его подписания должно-
стным лицом в порядке, установленном законодательством РФ.
3. Юридическая сила документа, хранимого, обрабатываемого и пе-
редаваемого с помощью автоматизированных информационных и теле-
коммуникационных систем, может подтверждаться электронной цифро-
вой подписью.
328
Приложение 5
Юридическая сила электронной цифровой подписи признается при
наличии в автоматизированной информационной системе программно-
технических средств, обеспечивающих идентификацию подписи, и со-
блюдении установленного режима их использования.
4. Право удостоверять идентичность электронной цифровой подписи
осуществляется на основании лицензии. Порядок выдачи лицензий опре-
деляется законодательством РФ.
Статья 6. Информационные ресурсы как элемент состава
имущества и объект права собственности
1. Информационные ресурсы могут быть государственными и него-
сударственными и как элемент состава имущества находятся в собствен-
ности граждан, органов государственной власти, органов местного само-
управления, организаций и общественных объединений. Отношения
по поводу права собственности на информационные ресурсы регулиру-
ются гражданским законодательством РФ.
2. Физические и юридические лица являются собственниками тех до- '
кументов, массивов документов, которые созданы за счет их средств,
приобретены ими на законных основаниях, получены в порядке дарения ,
или наследования.
3. РФ и субъекты РФ являются собственниками информационных ре-
сурсов, создаваемых, приобретаемых, накапливаемых за счет средств фе-
дерального бюджета, бюджетов субъектов РФ, а также полученных пу-
тем иных установленных законом способов.
Государство имеет право выкупа документированной информации
у физических и юридических лиц в случае отнесения этой информации
к государственной тайне.
Собственник информационных ресурсов, содержащих сведения, от-
несенные к государственной тайне, вправе распоряжаться этой собствен-
ностью только с разрешением соответствующих органов государствен-
ной власти.
4. Субъекты, представляющие в обязательном порядке документиро-
ванную информацию в органы государственной власти и организации,
не утрачивают своих прав на эти документы и на использование инфор-
мации, содержащейся в них. Документированная информация, представ-
ляемая в обязательном порядке в органы государственной власти и орга-
низации юридическими лицами независимо от их организационно-
правовой формы и форм собственности, а также гражданами на основа-
нии статьи 8 настоящего Федерального закона, формирует информаци-
Основы информационной безопасности
онные ресурсы, находящиеся в совместном владении государства и субъ-
ектов, представляющих эту информацию.
5. Информационные ресурсы, являющиеся собственностью организа-
ций, включаются в состав их имущества в соответствии с гражданским
законодательством РФ.
Информационные ресурсы, являющиеся собственностью государства,
находятся в ведении органов государственной власти и организаций в со-
ответствии с их компетенцией, подлежат учету и защите в составе госу-
дарственного имущества.
6. Информационные ресурсы могут быть товаром, за исключением
случаев, предусмотренных законодательством РФ.
7. Собственник информационных ресурсов пользуется всеми права-
ми, предусмотренными законодательством РФ, в том числе он имеет право:
• назначать лицо, осуществляющее хозяйственное ведение информа-
ционными ресурсами, или оперативное управление ими;
• устанавливать в пределах своей компетенции режим и правила обра-
ботки, защиты информационных ресурсов и доступа к ним;
• определять условия распоряжения документами при их копировании
и распространении.
8. Право собственности на средства обработки информации не созда-
ет права собственности на информационные ресурсы, принадлежащие
другим собственникам;
Документы, обрабатываемые в порядке предоставления услуг или
при совместном использовании этих средств обработки, принадлежат их
владельцу. Принадлежность и режим производной продукции, создавае-
мой в этом случае, регулируются договором.
Статья 7. Государственные информационные ресурсы
1. Государственные информационные ресурсы РФ формируются
в соответствии со сферами ведения как:
• федеральные информационные ресурсы;
• информационные ресурсы, находящиеся в совместном ведении РФ
и субъектов РФ (далее - информационные ресурсы совместного ве-
дения);
• информационные ресурсы субъектов РФ.
2. Формирование государственных информационных ресурсов в со-
ответствии с пунктом 1 статьи 8 настоящего Федерального закона осуще-
ж
Приложение 5
ствляется гражданами, органами государственной власти, органами мест-
ного самоуправления, организациями и общественными объединениями.
Федеральные органы государственной власти, органы государствен-
ной власти субъектов РФ формируют государственные информационные
ресурсы, находящиеся в их ведении, и обеспечивают их использование
в соответствии с установленной компетенцией.
3. Деятельность органов государственной власти и организаций
по формированию федеральных информационных ресурсов, информаци-
онных ресурсов совместного ведения, информационных ресурсов субъ-
ектов РФ финансируется из федерального бюджета и бюджетов субъек-
тов РФ по статье расходов «Информатика» («Информационное обеспече-
ние»).
4. Организации, которые специализируются на формировании феде-
ральных информационных ресурсов и (или) информационных ресурсов
совместного ведения на основе договора, обязаны получить лицензию
на этот вид деятельности в органах государственной власти. Порядок ли-
цензирования определяется законодательством РФ.
Статья 8. Обязательное представление
документированной информации для формирования
государственных информационных ресурсов
1. Граждане, органы государственной власти, органы местного само-
управления, организации и общественные объединения обязаны пред-
ставлять документированную информацию органам и организациям, от-
ветственным за формирование и использование государственных инфор-
мационных ресурсов.
Перечни представляемой в обязательном порядке документирован-
ной информации и перечни органов и организаций, ответственных
за сбор и обработку федеральных информационных ресурсов, утверждает
Правительство РФ.
2. Порядок и условия обязательного представления документирован-
ной информации доводятся до сведения граждан и организаций. Порядок
обязательного представления (получения) информации, отнесенной к го-
сударственной тайне, и конфиденциальной информации устанавливается
и осуществляется в соответствии с законодательством об этих категориях
информации.
3. При регистрации юридических лиц регистрационные органы обес-
печивают их перечнями представляемых в обязательном порядке доку-
ментов и адресами их представления. Перечень представляемой в обяза-
331
Основы информационной безопасности
тельном порядке документированной информации прилагается к уставу
каждого юридического лица (положению о нем).
Необеспечение регистрационными органами регистрируемых юри-
дических лиц перечнем представляемых в обязательном порядке доку-
ментов с адресами их представления не является основанием для отказа
в регистрации. Должностные лица регистрационных органов, виновные
в необеспечении регистрируемых юридических лиц перечнями представ-
ляемых в обязательном порядке документов с адресами их представления
привлекаются к дисциплинарной ответственности вплоть до снятия
с должности.
4. Документы, принадлежащие физическим и юридическим лицам,
могут включаться по желанию собственника в состав государственных
информационных ресурсов по правилам, установленным для включения
документов в соответствующие информационные системы.
Статья 9. Отнесение информационных ресурсов
к общероссийскому национальному достоянию
1. Отдельные объекты федеральных информационных ресурсов мо-
гут быть объявлены общероссийским национальным достоянием.
2. Отнесение конкретных объектов федеральных информационных
ресурсов к общероссийскому национальному достоянию и определение
их правового режима устанавливаются федеральным законом.
Статья 10. Информационные ресурсы по категориям доступа
1. Государственные информационные ресурсы РФ являются откры-
тыми и общедоступными. Исключение составляет документированная
информация, отнесенная законом к категории ограниченного доступа.
2. Документированная информация с ограниченным доступом по ус-
ловиям ее правового режима подразделяется на информацию, отнесен-
ную к государственной тайне, и конфиденциальную.
3. Запрещено относить к информации с ограниченным доступом:
• законодательные и другие нормативные акты, устанавливающие пра-
вовой статус органов государственной власти, органов местного са-
моуправления, организаций, общественных объединений, а также
права, свободы и обязанности граждан, порядок их реализации;
• документы, содержащие информацию о чрезвычайных ситуациях,
экологическую, метеорологическую, демографическую, санитарно-
эпидемиологическую и другую информацию, необходимую для
332
Приложение 5
обеспечения безопасного функционирования населенных пунктов,
производственных объектов, безопасности граждан и населения в це-
лом;
• документы, содержащие информацию о деятельности органов госу-
дарственной власти и органов местного самоуправления, об исполь-
зовании бюджетных средств и других государственных и местных
ресурсов, о состоянии экономики и потребностях населения, за ис-
ключением сведений, отнесенных к государственной тайне;
• документы, накапливаемые в открытых фондах библиотек и архивов,
информационных системах органов государственной власти, органов
местного самоуправления, общественных объединений, организаций,
представляющие общественный интерес или необходимые для реа-
лизации прав, свобод и обязанностей граждан.
4. Отнесение информации к государственной тайне осуществляется
в соответствии с Законом РФ «О государственной тайне».
5. Отнесение информации к конфиденциальной осуществляется в по-
рядке, установленном законодательством РФ, за исключением случаев,
предусмотренных статьей 11 настоящего Федерального закона.
Статья 11. Информация о гражданах (персональные данные)
1. Перечни персональных данных, включаемых в состав федеральных
информационных ресурсов, информационных ресурсов совместного ве-
дения, информационных ресурсов субъектов РФ, информационных ре-
сурсов органов местного самоуправления, а также получаемых и соби-
раемых негосударственными организациями, должны быть закреплены
на уровне федерального закона. Персональные данные относятся к кате-
гории конфиденциальной информации.
Не допускаются сбор, хранение, использование и распространение
информации о частной жизни, а равно информации, нарушающей лич-
ную тайну, семейную тайну, тайну переписки, телефонных переговоров,
почтовых, телеграфных и иных сообщений физического лица без его со-
гласия, кроме как на основании судебного решения.
2. Персональные данные не могут быть использованы в целях причи-
нения имущественного и морального вреда гражданам, затруднения
реализации прав и свобод граждан РФ. Ограничение прав граждан РФ на
основе использования информации об их социальном происхождении,
о расовой, национальной, языковой, религиозной и партийной принад-
лежности запрещено и карается в соответствии с законодательством.
333
Основы информационной безопасности
3. Юридические и физические лица, в соответствии со своими пол-
номочиями владеющие информацией о гражданах, получающие и ис-
пользующие ее, несут ответственность в соответствии с законодательст-
вом РФ за нарушение режима защиты, обработки и порядка использова-
ния этой информации.
4. Подлежит обязательному лицензированию деятельность негосу-
дарственных организаций и частных лиц, связанная с обработкой и пре-
доставлением пользователям персональных данных. Порядок лицензиро-
вания определяется законодательством РФ.
5. Неправомерность деятельности органов государственной власти
и организаций по сбору персональных данных может быть установлена
в судебном порядке по требованию субъектов, действующих на основа-
нии статей 14 и 15 настоящего Федерального закона и законодательства
о персональных данных.
Глава 3. Пользование информационными
ресурсами
Статья 12. Реализация права на доступ к информации
из информационных ресурсов
1. Пользователи - граждане, органы государственной власти, органы
местного самоуправления, организации и общественные объединения -
обладают равными правами на доступ к государственным информацион-
ным ресурсам и не обязаны обосновывать перед владельцем этих ресур-
сов необходимость получения запрашиваемой ими информации. Исклю-
чение составляет информация с ограниченным доступом.
Доступ физических и юридических лиц к государственным информа-
ционным ресурсам является основой осуществления общественного кон-
троля за деятельностью органов государственной власти, органов мест-
ного самоуправления, общественных, политических и иных организаций,
а также за состоянием экономики, экологии и других сфер общественной
жизни.
2. Владельцы информационных ресурсов обеспечивают пользовате-
лей (потребителей) информацией из информационных ресурсов на осно-
ве законодательства, уставов указанных органов и организаций, положе-
ний о них, а также договоров на услуги по информационному обеспече-
нию.
334
Приложение 5
Информация, полученная на законных основаниях из государствен-
ных информационных ресурсов гражданами и организациями, может
быть использована ими для создания производной информации в целях
ее коммерческого распространения с обязательной ссылкой на источник
информации.
Источником прибыли в этом случае является результат вложенных
труда и средств при создании производной информации, но не исходная
информация, полученная из государственных ресурсов.
3. Порядок получения пользователем информации (указание места,
времени, ответственных должностных лиц, необходимых процедур) оп-
ределяет собственник или владелец информационных ресурсов с соблю-
дением требований, установленных настоящим Федеральным законом.
Перечни информации и услуг по информационному обеспечению,
сведения о порядке и условиях доступа к информационным ресурсам
владельцы информационных ресурсов и информационных систем пре-
доставляют пользователям бесплатно.
4. Органы государственной власти и организации, ответственные за
формирование и использование информационных ресурсов, обеспечива-
ют условия для оперативного и полного предоставления пользователю
документированной информации в соответствии с обязанностями, уста-
новленными уставами (положениями) этих органов и организаций.
5. Порядок накопления и обработки документированной информации
с ограниченным доступом, правила ее защиты и порядок доступа к ней
определяются органами государственной власти, ответственными за оп-
ределенные вид и массивы информации, в соответствии с их компетен-
цией либо непосредственно ее собственником в соответствии с законода-
тельством.
Статья 13. Гарантии предоставления информации
1. Органы государственной власти и органы местного самоуправле-
ния создают доступные для каждого информационные ресурсы по вопро-
сам деятельности этих органов и подведомственных им организаций,
а также в пределах своей компетенции осуществляют массовое информа-
ционное обеспечение пользователей по вопросам прав, свобод и обязан-
ностей граждан, их безопасности и другим вопросам, представляющим
общественный интерес.
2. Отказ в доступе к информационным ресурсам, предусмотренным
в п. 1 настоящей статьи, может быть обжалован в суд.
335
Основы информационной безопасности
3. Комитет при Президенте РФ по политике информатизации органи-
зует регистрацию всех информационных ресурсов, информационных
систем и публикацию сведений о них для обеспечения права граждан
на доступ к информации.
4. Перечень информационных услуг, предоставляемых пользователям
из государственных информационных ресурсов бесплатно или за плату,
не возмещающую в полном размере расходы на услуги, устанавливает
Правительство РФ.
Расходы на указанные услуги компенсируются из средств федераль-
ного бюджета и бюджетов субъектов РФ.
Статья 14. Доступ граждан и организаций к информации
о них
1. Граждане и организации имеют право на доступ к документиро-
ванной информации о них, на уточнение этой информации в целях обес-
печения ее полноты и достоверности, имеют право знать, кто и в каких
целях использует или использовал эту информацию. Ограничение досту-
па граждан и организаций к информации о них допустимо лишь на осно-
ваниях, предусмотренных федеральными законами.
2. Владелец документированной информации о гражданах обязан
предоставить информацию бесплатно по требованию тех лиц, которых
она касается. Ограничения возможны лишь в случаях, предусмотренных
законодательством РФ.
3. Субъекты, представляющие информацию о себе для комплектова-
ния информационных ресурсов на основании статей 7 и 8 настоящего
Федерального закона, имеют право бесплатно пользоваться этой инфор-
мацией.
4. Отказ владельца информационных ресурсов субъекту в доступе
к информации о нем может быть обжалован в судебном порядке.
Статья 15. Обязанности и ответственность владельца
информационных ресурсов
1. Владелец информационных ресурсов обязан обеспечить соблюде-
ние режима обработки и правил предоставления информации пользова-
телю, установленных законодательством РФ или собственником этих
информационных ресурсов, в соответствии с законодательством.
2. Владелец информационных ресурсов несет юридическую ответст-
венность за нарушение правил работы с информацией в порядке, преду-
смотренном законодательством РФ.
336
Приложение 5
Глава 4. Информатизация.
Информационные системы, технологии
и средства их обеспечения
Статья 16. Разработка и производство информационных
систем, технологий и средств их обеспечения
1. Все виды производства информационных систем и сетей, техноло-
гий и средств их обеспечения составляют специальную отрасль экономи-
ческой деятельности, развитие которой определяется государственной
научно-технической и промышленной политикой информатизации.
2. Государственные и негосударственные организации, а также граж-
дане имеют равные права на разработку и производство информацион-
ных систем, технологий и средств их обеспечения.
3. Государство создает условия для проведения научно- исследова-
тельских и опытно-конструкторских работ в области разработки и произ-
водства информационных систем, технологий и средств их обеспечения.
Правительство РФ определяет приоритетные направления развития
информатизации и устанавливает порядок их финансирования.
4. Разработка и эксплуатация федеральных информационных систем
финансируются из средств федерального бюджета по статье расходов
«Информатика» («Информационное обеспечение»).
5. Органы государственной статистики совместно с Комитетом при
Президенте РФ по политике информатизации устанавливают правила
учета и анализа состояния отрасли экономической деятельности, разви-
тие которой определяется государственной научно-технической и про-
мышленной политикой информатизации.
Статья 17. Право собственности на информационные
системы, технологии и средства их обеспечения
1. Информационные системы, технологии и средства их обеспечения
могут быть объектами собственности физических и юридических лиц,
государства.
2. Собственником информационной системы, технологии и средств
их обеспечения признается физическое или юридическое лицо, на сред-
ства которого эти объекты произведены, приобретены или получены
в порядке наследования, дарения или иным законным способом.
337
Основы информационной безопасности
3. Информационные системы, технологии и средства их обеспечения
включаются в состав имущества субъекта, осуществляющего права соб-
ственника или владельца этих объектов. Информационные системы, тех-
нологии и средства их обеспечения выступают в качестве товара (про-
дукции) при соблюдении исключительных прав их разработчиков.
Собственник информационной системы, технологии и средств их
обеспечения определяет условия использования этой продукции.
Статья 18. Право авторства и право собственности
на информационные системы, технологии и средства
их обеспечения
Право авторства и право собственности на информационные систе-
мы, технологии и средства их обеспечения могут принадлежать разным
лицам. Собственник информационной системы, технологии и средств их
обеспечения обязан защищать права их автора в соответствии с законода-
тельством РФ.
Статья 19. Сертификация информационных систем,
технологий, средств их обеспечения и лицензирование
деятельности по формированию и использованию
информационных ресурсов
1. Информационные системы, базы и банки данных, предназначен-
ные для информационного обслуживания граждан и организаций, подле-
жат сертификации в порядке, установленном Законом РФ «О сертифика-
ции продукции и услуг.
2. Информационные системы органов государственной власти РФ и
органов государственной власти субъектов РФ, других государственных
органов, организаций, которые обрабатывают документированную ин-
формацию с ограниченным доступом, а также средства защиты этих сис-
тем подлежат обязательной сертификации. Порядок сертификации опре-
деляется законодательством РФ.
3. Организации, выполняющие работы в области проектирования,
производства средств защиты информации и обработки персональных
данных, получают лицензии на этот вид деятельности. Порядок лицензи-
рования определяется законодательством РФ.
4. Интересы потребителя информации при использовании импортной
продукции в информационных системах защищаются таможенными ор-
ганами РФ на основе международной системы сертификации.
338
Приложение 5
Глава 5. Защита информации и прав субъектов
в области информационных процессов
и информатизации
Статья 20. Цели защиты
Целями защиты являются:
• предотвращение утечки, хищения, утраты, искажения, подделки ин-
формации;
• предотвращение угроз безопасности личности, общества, государства;
• предотвращение несанкционированных действий по уничтожению,
модификации, искажению, копированию, блокированию информа-
ции; предотвращение других форм незаконного вмешательства в ин-
формационные ресурсы и информационные системы, обеспечение
правового режима документированной информации как объекта соб-
ственности;
• защита конституционных прав граждан на сохранение личной тайны
и конфиденциальности персональных данных, имеющихся в инфор-
мационных системах;
• сохранение государственной тайны, конфиденциальности докумен-
тированной информации в соответствии с законодательством;
• обеспечение прав субъектов в информационных процессах и при
разработке, производстве и применении информационных систем,
технологий и средств их обеспечения.
Статья 21. Защита информации
1. Защите подлежит любая документированная информация, непра-
вомерное обращение с которой может нанести ущерб ее собственнику,
владельцу, пользователю и иному лицу.
Режим защиты информации устанавливается:
• в отношении сведений, отнесенных к государственной тайне, - упол-
номоченными органами на основании Закона РФ «О государственной
тайне»;
• в отношении конфиденциальной документированной информации -
собственником информационных ресурсов или уполномоченным ли-
цом на основании настоящего Федерального закона;
• в отношении персональных данных - федеральным законом.
339
Основы информационной безопасности
2. Органы государственной власти и организации, ответственные за
формирование и использование информационных ресурсов, подлежащих
защите, а также органы и организации, разрабатывающие и применяю-
щие информационные системы и информационные технологии для фор-
мирования и использовали информационных ресурсов с ограниченным
доступом, руководствуются в своей деятельности законодательством РФ.
3. Контроль за соблюдением требований к защите информации и экс-
плуатацией специальных программно- технических средств защиты,
а также обеспечение организационных мер защиты информационных
систем, обрабатывающих информацию с ограниченным доступом в него-
сударственных структурах, осуществляются органами государственной
власти. Контроль осуществляется в порядке, определяемом Правительст-
вом РФ.
4. Организации, обрабатывающие информацию с ограниченным дос-
тупом, которая является собственностью государства, создают специаль-
ные службы, обеспечивающие защиту информации.
5. Собственник информационных ресурсов или уполномоченные им
лица имеют право осуществлять контроль за выполнением требований по
защите информации и запрещать или приостанавливать обработку ин-
формации в случае невыполнения этих требований.
6. Собственник или владелец документированной информации впра-
ве обращаться в органы государственной власти для оценки правильно-
сти выполнения норм и требований по защите его информации в инфор-
мационных системах. Соответствующие органы определяет Правитель-
ство РФ. Эти органы соблюдают условия конфиденциальности самой
информации и результатов проверки.
Статья 22. Права и обязанности субъектов в области
защиты информации
1. Собственник документов, массива документов, информационных
систем или уполномоченные им лица в соответствии с настоящим Феде-
ральным законом устанавливают порядок предоставления пользователю
информации с указанием места, времени, ответственных должностных
лиц, а также необходимых процедур и обеспечивают условия доступа
пользователей к информации.
Приложение 5
2. Владелец документов, массива документов, информационных сис-
тем обеспечивает уровень защиты информации в соответствии с законо-
дательством РФ.
3. Риск, связанный с использованием несертифицированных инфор-
мационных систем и средств их обеспечения, лежит на собственнике
(владельце) этих систем и средств.
Риск, связанный с использованием информации, полученной из не-
сертифицированной системы, лежит на потребителе информации.
4. Собственник документов, массива документов, информационных
систем может обращаться в организации, осуществляющие сертифика-
цию средств защиты информационных систем и информационных ресур-
сов, для проведения анализа достаточности мер защиты его ресурсов
и систем и получения консультаций.
5. Владелец документов, массива документов, информационных сис-
тем обязан оповещать собственника информационных ресурсов и (или)
информационных систем о всех фактах нарушения режима защиты ин-
формации.
Статья 23. Защита прав субъектов в сфере
информационных процессов и информатизации
1. Защита прав субъектов в сфере формирования информационных
ресурсов, пользования информационными ресурсами, разработки, произ-
водства и применения информационных систем, технологий и средств их
обеспечения осуществляется в целях предупреждения правонарушений,
пресечения неправомерных действий, восстановления нарушенных прав
и возмещения причиненного ущерба.
2. Защита прав субъектов в указанной сфере осуществляется судом,
арбитражным судом, третейским судом с учетом специфики правонару-
шений и нанесенного ущерба.
3. За правонарушения при работе с документированной информацией
органы государственной власти, организации и их должностные лица не-
сут ответственность в соответствии с законодательством РФ и субъектов РФ.
Для рассмотрения конфликтных ситуаций и зашиты прав участников
в сфере формирования и использования информационных ресурсов, соз-
дания и использования информационных систем, технологий и средств их
обеспечения могут создаваться временные и постоянные третейские суды.
341
Основы информационной безопасности
Третейский суд рассматривает конфликты и споры сторон в порядке,
установленном законодательством о третейских судах.
4. Ответственность за нарушения международных норм и правил
в области формирования и использования информационных ресурсов,
создания и использования информационных систем, технологий и
средств их обеспечения возлагается на органы государственной власти,
организации и граждан в соответствии с договорами, заключенными ими
с зарубежными фирмами и другими партнерами с учетом международ-
ных договоров, ратифицированных Российской Федерацией.
Статья 24. Защита права на доступ к информации
1. Отказ в доступе к открытой информации или предоставление поль-
зователям заведомо недостоверной информации могут быть обжалованы
в судебном порядке. Неисполнение или ненадлежащее исполнение обяза-
тельств по договору поставки, купли-продажи, по другим формам обмена
информационными ресурсами между организациями рассматриваются
арбитражным судом.
Во всех случаях лица, которым отказано в доступе к информации,
и лица, получившие недостоверную информацию, имеют право на воз-
мещение понесенного ими ущерба.
2. Суд рассматривает споры о необоснованном отнесении информа-
ции к категории информации с ограниченным доступом, иски о возмеще-
нии ущерба в случаях необоснованного отказа в предоставлении инфор-
мации пользователям или в результате других нарушений прав пользова-
телей.
3. Руководители, другие служащие органов государственной власти,
организаций, виновные в незаконном ограничении доступа к информации
и нарушении режима защиты информации, несут ответственность в соот-
ветствии с уголовным, гражданским законодательством и законодатель-
ством об административных правонарушениях.
Статья 25. Вступление в силу настоящего Федерального
закона
1. Настоящий Федеральный закон вступает в силу со дн его офици-
ального опубликования.
2. Предложить Президенту РФ привести в соответствие с настоящим
Федеральным законом изданные им правовые акты.
3. Поручить Правительству РФ:
342
Приложение 5
привести в соответствие с настоящим Федеральным законом издан-
ные им правовые акты;
подготовить и внести в Государственную Думу в трехмесячный срок
в установленном порядке предложения о внесении изменений и до-
полнений в законодательство РФ в связи с принятием настоящего
Федерального закона;
принять нормативные правовые акты, обеспечивающие реализацию
настоящего Федерального закона.
Президент РФ
Б.ЕЛЬЦИН
Москва, Дом Советов России
20 февраля 1995 г. № 24-ФЗ
343
Приложение 6
ФЕДЕРАЛЬНЫЙ ЗАКОН
РОССИЙСКОЙ ФЕДЕРАЦИИ
«ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ»
от 10 января 2002 г. № 1-ФЗ
Принят Государственной Думой 13 декабря 2001 г.
Одобрен Советом Федераций 26 декабря 2001 г.
Глава 1. Общие положения
Статья 1. Цель и сфера применения настоящего
Федерального закона
1. Целью настоящего Федерального закона является обеспечение
правовых условий использования электронной цифровой подписи в элек-
тронных документах, при соблюдении которых электронная цифровая
подпись в электронном документе признается равнозначной собственно-
ручной подписи в документе на бумажном носителе.
2. Действие настоящего Федерального закона распространяется на
отношения, возникающие при совершении гражданско-правовых сделок
и в других предусмотренных законодательством РФ случаях. Действие
настоящего Федерального закона не распространяется на отношения,
возникающие при использовании иных аналогов собственноручной под-
писи.
Статья 2. Правовое регулирование отношений в области
использования электронной цифровой подписи
Правовое регулирование отношений в области использования элек-
тронной цифровой подписи осуществляется в соответствии с настоящим
Федеральным законом, Гражданским кодексом РФ, Федеральным зако-
ном «Об информации, информатизации и защите информации», Феде-
ральным законом «О связи», другими федеральными законами и прини-
маемыми в соответствии с ними иными нормативными правовыми акта-
ми РФ, а также осуществляется соглашением сторон.
344
Приложение 6
Статья 3. Основные понятия, используемые в настоящем
Федеральном законе
Для целей настоящего Федерального закона используются следую-
щие основные понятия:
• электронный документ - документ, в котором информация пред-
ставлена в электронно-цифровой форме;
• электронная цифровая подпись - реквизит электронного докумен-
та, предназначенный для защиты данного электронного документа от
подделки, полученный в результате криптографического преобразо-
вания информации с использованием закрытого ключа электронной
цифровой подписи и позволяющий идентифицировать владельца
сертификата ключа подписи, а также установить отсутствие искаже-
ния информации в электронном документе;
• владелец сертификата ключа подписи - физическое лицо, на имя
которого удостоверяющим центром выдан сертификат ключа под-
писи и которое владеет соответствующим закрытым ключом элек-
тронной цифровой подписи, позволяющим с помощью средств элек-
тронной цифровой подписи создавать свою электронную цифровую
подпись в электронных документах (подписывать электронные до-
кументы);
• средства электронной цифровой подписи - аппаратные и (или)
программные средства, обеспечивающие реализацию хотя бы одной
из следующих функций - создание электронной цифровой подписи
в электронном документе с использованием закрытого ключа элек-
тронной цифровой подписи, подтверждение с использованием от-
крытого ключа электронной цифровой подписи подлинности элек-
тронной цифровой подписи в электронном документе, создание за-
крытых и открытых ключей электронных цифровых подписей;
• сертификат средств электронной цифровой подписи - документ
на бумажном носителе, выданный в соответствии с правилами сис-
темы сертификации для подтверждения соответствия средств элек-
тронной цифровой подписи установленным требованиям;
• закрытый ключ электронной цифровой подписи - уникальная по-
следовательность символов, известная владельцу сертификата ключа
подписи и предназначенная для создания в электронных документах
электронной цифровой подписи с использованием средств электрон-
ной цифровой подписи;
• открытый ключ электронной цифровой подписи - уникальная по-
следовательность символов, соответствующая закрытому ключу
электронной цифровой подписи, доступная любому пользователю
345
Основы информационной безопасности
информационной системы и предназначенная для подтверждения
с использованием средств электронной цифровой подписи подлинно-
сти электронной цифровой подписи в электронном документе;
• сертификат ключа подписи - документ на бумажном носителе или
электронный документ с электронной цифровой подписью уполно-
моченного лица удостоверяющего центра, которые включают в себя
открытый ключ электронной цифровой подписи и которые выдаются
удостоверяющим центром участнику информационной системы для
подтверждения подлинности электронной цифровой подписи и
идентификации владельца сертификата ключа подписи;
• подтверждение подлинности электронной цифровой подписи
в электронном документе - положительный результат проверки со-
ответствующим сертифицированным средством электронной цифро-
вой подписи с использованием сертификата ключа подписи принад-
лежности электронной цифровой подписи в электронном документе
владельцу сертификата ключа подписи и отсутствия искажений
в подписанном данной электронной цифровой подписью электрон-
ном документе;
• пользователь сертификата ключа подписи - физическое лицо, ис-
пользующее полученные в удостоверяющем центре сведения о сер-
тификате ключа подписи для проверки принадлежности электронной
цифровой подписи владельцу сертификата ключа подписи;
• информационная система общего пользования - информационная
система, которая открыта для использования всеми физическими
и юридическими лицами и в услугах которой этим лицам не может
быть отказано;
• корпоративная информационная система - информационная сис-
тема, участниками которой может быть ограниченный круг лиц, оп-
ределенный ее владельцем или соглашением участников этой ин-
формационной системы.
Глава 2. Условия использования электронной
цифровой подписи
Статья 4. Условия признания равнозначности электронной
цифровой подписи и собственноручной подписи
1. Электронная цифровая подпись в электронном документе равно-
значна собственноручной подписи в документе на бумажном носителе
при одновременном соблюдении следующих условий:
346
Приложение 6
• сертификат ключа подписи, относящийся к этой электронной цифро-
вой подписи, не утратил силу (действует) на момент проверки или
на момент подписания электронного документа при наличии доказа-
тельств, определяющих момент подписания;
• подтверждена подлинность электронной цифровой подписи в элек-
тронном документе;
• электронная цифровая подпись используется в соответствии со све-
дениями, указанными в сертификате ключа подписи.
2. Участник информационной системы может быть одновременно
владельцем любого количества сертификатов ключей подписей. При
этом электронный документ с электронной цифровой подписью имеет
юридическое значение при осуществлении отношений, указанных в сер-
тификате ключа подписи.
Статья 5. Использование средств электронной цифровой
подписи
1. Создание ключей электронных цифровых подписей осуществляет-
ся для использования в:
• информационной системе общего пользования ее участником или
по его обращению удостоверяющим центром;
• корпоративной информационной системе в порядке, установленном
в этой системе.
2. При создании ключей электронных цифровых подписей для ис-
пользования в информационной системе общего пользования должны
применяться только сертифицированные средства электронной цифровой
подписи. Возмещение убытков, причиненных в связи с созданием ключей
электронных цифровых подписей несертифицированными средствами
электронной цифровой подписи, может быть возложено на создателей и
распространителей этих средств в соответствии с законодательством РФ.
3. Использование несертифицированных средств электронной циф-
ровой подписи и созданных ими ключей электронных цифровых подпи-
сей в корпоративных информационных системах федеральных органов
государственной власти, органов государственной власти субъектов РФ
и органов местного самоуправления не допускается.
4. Сертификация средств электронной цифровой подписи осуществ-
ляется в соответствии с законодательством РФ о сертификации продук-
ции и услуг.
347
Основы информационной безопасности
Статья 6. Сертификат ключа подписи
1. Сертификат ключа подписи должен содержать следующие сведения:
• уникальный регистрационный номер сертификата ключа подписи,
даты начала и окончания срока действия сертификата ключа подпи-
си, находящегося в реестре удостоверяющего центра;
• фамилия, имя и отчество владельца сертификата ключа подписи или
псевдоним владельца. В случае использования псевдонима удостове-
ряющим центром вносится запись об этом в сертификат ключа подписи;
• открытый ключ электронной цифровой подписи;
• наименование средств электронной цифровой подписи, с которыми
используется данный открытый ключ электронной цифровой подписи;
• наименование и место нахождения удостоверяющего центра, выдав-
шего сертификат ключа подписи;
• сведения об отношениях, при осуществлении которых электронный
документ с электронной цифровой подписью будет иметь юридиче-
ское значение.
2. В случае необходимости в сертификате ключа подписи на основа-
нии подтверждающих документов указываются должность (с указанием
наименования и места нахождения организации, в которой установлена
эта должность) и квалификация владельца сертификата ключа подписи,
а по его заявлению в письменной форме - иные сведения, подтверждае-
мые соответствующими документами.
3. Сертификат ключа подписи должен быть внесен удостоверяющим
центром в реестр сертификатов ключей подписей не позднее даты начала
действия сертификата ключа подписи.
4. Для проверки принадлежности электронной цифровой подписи со-
ответствующему владельцу сертификат ключа подписи выдается пользо-
вателям с указанием даты и времени его выдачи, сведений о действии
сертификата ключа подписи (действует, действие приостановлено, сроки
приостановления его действия, аннулирован, дата и время аннулирования
сертификата ключа подписи) и сведений о реестре сертификатов ключей
подписей. В случае выдачи сертификата ключа подписи в форме доку-
мента на бумажном носителе этот сертификат оформляется на бланке
удостоверяющего центра и заверяется собственноручной подписью
уполномоченного лица и печатью удостоверяющего центра. В случае вы-
дачи сертификата ключа подписи и указанных дополнительных данных
в форме электронного документа этот сертификат должен быть подписан
электронной цифровой подписью уполномоченного лица удостоверяю-
щего центра.
348
Приложение 6
Статья 7. Срок и порядок хранения сертификата ключа
подписи в удостоверяющем центре
1. Срок хранения сертификата ключа подписи в форме электронного
документа в удостоверяющем центре определяется договором между
удостоверяющим центром и владельцем сертификата ключа подписи.
При этом обеспечивается доступ участников информационной системы
в удостоверяющий центр для получения сертификата ключа подписи.
2. Срок хранения сертификата ключа подписи в форме электронного
документа в удостоверяющем центре после аннулирования сертификата
ключа подписи должен быть не менее установленного федеральным за-
коном срока исковой давности для отношений, указанных в сертификате
ключа подписи.
По истечении указанного срока хранения сертификат ключа подписи
исключается из реестра сертификатов ключей подписей и переводится
в режим архивного хранения. Срок архивного хранения составляет
не менее чем пять лет. Порядок выдачи копий сертификатов ключей под-
писей в этот период устанавливается в соответствии с законодательством
РФ.
3. Сертификат ключа подписи в форме документа на бумажном носи-
теле хранится в порядке, установленном законодательством РФ об архи-
вах и архивном деле.
Глава 3. Удостоверяющие центры
Статья 8. Статус удостоверяющего центра
1. Удостоверяющим центром, выдающим сертификаты ключей под-
писей для использования в информационных системах общего пользования,
должно быть юридическое лицо, выполняющее функции, предусмотрен-
ные настоящим Федеральным законом. При этом удостоверяющий центр
должен обладать необходимыми материальными и финансовыми воз-
можностями, позволяющими ему нести гражданскую ответственность
перед пользователями сертификатов ключей подписей за убытки, кото-
рые могут быть понесены ими вследствие недостоверности сведений, со-
держащихся в сертификатах ключей подписей.
Требования, предъявляемые к материальным и финансовым возмож-
ностям удостоверяющих центров, определяются Правительством РФ
по представлению уполномоченного федерального органа исполнитель-
ной власти.
349
Основы информационной безопасности
Статус удостоверяющего центра, обеспечивающего функционирова-
ние корпоративной информационной системы, определяется ее владель-
цем или соглашением участников этой системы.
2. Деятельность удостоверяющего центра подлежит лицензированию
в соответствии с законодательством РФ о лицензировании отдельных ви-
дов деятельности.
Статья 9. Деятельность удостоверяющего центра
1. Удостоверяющий центр:
• изготавливает сертификаты ключей подписей;
• создает ключи электронных цифровых подписей по обращению уча-
стников информационной системы с гарантией сохранения в тайне
закрытого ключа электронной цифровой подписи;
• приостанавливает и возобновляет действие сертификатов ключей
подписей, а также аннулирует их;
• ведет реестр сертификатов ключей подписей, обеспечивает его акту-
альность и возможность свободного доступа к нему участников ин-
формационных систем;
• проверяет уникальность открытых ключей электронных цифровых
подписей в реестре сертификатов ключей подписей и архиве удосто-
веряющего центра;
• выдает сертификаты ключей подписей в форме документов на бу-
мажных носителях и (или) в форме электронных документов с ин-
формацией об их действии;
• осуществляет по обращениям пользователей сертификатов ключей
подписей подтверждение подлинности электронной цифровой под-
писи в электронном документе в отношении выданных им сертифи-
катов ключей подписей;
• может предоставлять участникам информационных систем иные свя-
занные с использованием электронных цифровых подписей услуги.
2. Изготовление сертификатов ключей подписей осуществляется на
основании заявления участника информационной системы, которое со-
держит сведения, указанные в статье 6 настоящего Федерального закона
и необходимые для идентификации владельца сертификата ключа подпи-
си и передачи ему сообщений. Заявление подписывается собственноруч-
но владельцем сертификата ключа подписи. Содержащиеся в заявлении
сведения подтверждаются предъявлением соответствующих документов.
350
Приложение 6
3. При изготовлении сертификатов ключей подписей удостоверяю-
щим центром оформляются в форме документов на бумажных носителях
два экземпляра сертификата ключа подписи, которые заверяются собст-
венноручными подписями владельца сертификата ключа подписи
и уполномоченного лица удостоверяющего центра, а также печатью удо-
стоверяющего центра. Один экземпляр сертификата ключа подписи вы-
дается владельцу сертификата ключа подписи, второй - остается в удо-
стоверяющем центре.
4. Услуги по выдаче участникам информационных систем сертифи-
катов ключей подписей, зарегистрированных удостоверяющим центром,
одновременно с информацией об их действии в форме электронных до-
кументов оказываются безвозмездно.
Статья 10. Отношения между удостоверяющим
центром и уполномоченным федеральным органом
исполнительной власти
1. Удостоверяющий центр до начала использования электронной
цифровой подписи уполномоченного лица удостоверяющего центра для
заверения от имени удостоверяющего центра сертификатов ключей под-
писей обязан представить в уполномоченный федеральный орган испол-
нительной власти сертификат ключа подписи уполномоченного лица
удостоверяющего центра в форме электронного документа, а также этот
сертификат в форме документа на бумажном носителе с собственноруч-
ной подписью указанного уполномоченного лица, заверенный подписью
руководителя и печатью удостоверяющего центра.
2. Уполномоченный федеральный орган исполнительной власти ве-
дет единый государственный реестр сертификатов ключей подписей, ко-
торыми удостоверяющие центры, работающие с участниками информа-
ционных систем общего пользования, заверяют выдаваемые ими серти-
фикаты ключей подписей, обеспечивает возможность свободного доступа
к этому реестру и выдает сертификаты ключей подписей соответствую-
щих уполномоченных лиц удостоверяющих центров.
3. Электронные цифровые подписи уполномоченных лиц удостове-
ряющих центров могут использоваться только после включения их
в единый государственный реестр сертификатов ключей подписей. Ис-
пользование этих электронных цифровых подписей для целей, не связан-
ных с заверением сертификатов ключей подписей и сведений об их дей-
ствии, не допускается.
351
Основы информационной безопасности
4. Уполномоченный федеральный орган исполнительной власти:
• осуществляет по обращениям физических лиц, организаций, феде-
ральных органов государственной власти, органов государственной
власти субъектов РФ и органов местного самоуправления подтвер-
ждение подлинности электронных цифровых подписей уполномо-
ченных лиц удостоверяющих центров в выданных ими сертификатах
ключей подписей;
• осуществляет в соответствии с положением об уполномоченном фе-
деральном органе исполнительной власти иные полномочия по обес-
печению действия настоящего Федерального закона.
Статья 11. Обязательства удостоверяющего центра
по отношению к владельцу сертификата ключа подписи
Удостоверяющий центр при изготовлении сертификата ключа подпи-
си принимает на себя следующие обязательства по отношению к вла-
дельцу сертификата ключа подписи:
• вносить сертификат ключа подписи в реестр сертификатов ключей
подписей;
• обеспечивать выдачу сертификата ключа подписи обратившимся
к нему участникам информационных систем;
• приостанавливать действие сертификата ключа подписи по обраще-
нию его владельца;
• уведомлять владельца сертификата ключа подписи о фактах, которые
стали известны удостоверяющему центру и которые существенным
образом могут сказаться на возможности дальнейшего использования
сертификата ключа подписи;
• иные установленные нормативными правовыми актами или соглаше-
нием сторон обязательства.
Статья 12. Обязательства владельца сертификата ключа
подписи
1. Владелец сертификата ключа подписи обязан:
• не использовать для электронной цифровой подписи открытые и за-
крытые ключи электронной цифровой подписи, если ему известно,
что эти ключи используются или использовались ранее;
• хранить в тайне закрытый ключ электронной цифровой подписи;
352
Приложение 6
• немедленно требовать приостановления действия сертификата ключа
подписи при наличии оснований полагать, что тайна закрытого клю-
ча электронной цифровой подписи нарушена.
2. При несоблюдении требований, изложенных в настоящей статье,
возмещение причиненных вследствие этого убытков возлагается на вла-
дельца сертификата ключа подписи.
Статья 13. Приостановление действия сертификата
ключа подписи
1. Действие сертификата ключа подписи может быть приостановлено
удостоверяющим центром на основании указания лиц или органов,
имеющих такое право в силу закона или договора, а в корпоративной ин-
формационной системе также в силу установленных для нее правил
пользования.
2. Период от поступления в удостоверяющий центр указания о при-
остановлении действия сертификата ключа подписи до внесения соответ-
ствующей информации в реестр сертификатов ключей подписей должен
устанавливаться в соответствии с общим для всех владельцев сертифика-
тов ключей подписей правилом. По договоренности между удостове-
ряющим центром и владельцем сертификата ключа подписи этот период
может быть сокращен.
3. Действие сертификата ключа подписи по указанию полномочного
лица (органа) приостанавливается на исчисляемый в днях срок, если иное
не установлено нормативными правовыми актами или договором. Удо-
стоверяющий центр возобновляет действие сертификата ключа подписи
по указанию полномочного лица (органа). В случае, если по истечении
указанного срока не поступает указание о возобновлении действия сер-
тификата ключа подписи, он подлежит аннулированию.
4. В соответствии с указанием полномочного лица (органа) о приос-
тановлении действия сертификата ключа подписи удостоверяющий центр
оповещает об этом пользователей сертификатов ключей подписей путем
внесения в реестр сертификатов ключей подписей соответствующей ин-
формации с указанием даты, времени и срока приостановления действия
сертификата ключа подписи, а также извещает об этом владельца серти-
фиката ключа подписи и полномочное лицо (орган), от которого получе-
но указание о приостановлении действия сертификата ключа подписи.
353
Основы информационной безопасности
Статья 14. Аннулирование сертификата ключа подписи
1. Удостоверяющий центр, выдавший сертификат ключа подписи,
обязан аннулировать его:
• по истечении срока его действия;
• при утрате юридической силы сертификата соответствующих
средств электронной цифровой подписи, используемых в информа-
ционных системах общего пользования;
• в случае, если удостоверяющему центру стало достоверно известно о
прекращении действия документа, на основании которого оформлен
сертификат ключа подписи;
• по заявлению в письменной форме владельца сертификата ключа
подписи;
• в иных установленных нормативными правовыми актами или согла-
шением сторон случаях.
2. В случае аннулирования сертификата ключа подписи удостове-
ряющий центр оповещает об этом пользователей сертификатов ключей
подписей путем внесения в реестр сертификатов ключей подписей соот-
ветствующей информации с указанием даты и времени аннулирования
сертификата ключа подписи, за исключением случаев аннулирования
сертификата ключа подписи по истечении срока его действия, а также из-
вещает об этом владельца сертификата ключа подписи и полномочное
лицо (орган), от которого получено указание об аннулировании сертифи-
ката ключа подписи.
Статья 15. Прекращение деятельности удостоверяющего
центра
1. Деятельность удостоверяющего центра, выдающего сертификаты
ключей подписей для использования в информационных системах обще-
го пользования, может быть прекращена в порядке, установленном граж-
данским законодательством.
2. В случае прекращения деятельности удостоверяющего центра, ука-
занного в п. 1 настоящей статьи, сертификаты ключей подписей, выдан-
ные этим удостоверяющим центром, могут быть переданы другому удо-
стоверяющему центру по согласованию с владельцами сертификатов
ключей подписей.
Сертификаты ключей подписей, не переданные в другой удостове-
ряющий центр, аннулируются и передаются на хранение в соответствии
со ст. 7 настоящего Федерального закона уполномоченному федерально-
му органу исполнительной власти.
354
Приложение 6
3. Деятельность удостоверяющего центра, обеспечивающего функ-
ционирование корпоративной информационной системы, прекращается
по решению владельца этой системы, а также по договоренности участ-
ников этой системы в связи с передачей обязательств данного удостове-
ряющего центра другому удостоверяющему центру или в связи с ликви-
дацией корпоративной информационной системы.
Глава 4. Особенности использования
электронной цифровой подписи
Статья 16. Использование электронной цифровой
подписи в сфере государственного управления
1. Федеральные органы государственной власти, органы государст-
венной власти субъектов РФ, органы местного самоуправления, а также
организации, участвующие в документообороте с указанными органами,
используют для подписания своих электронных документов электронные
цифровые подписи уполномоченных лиц указанных органов, организа-
ций.
2. Сертификаты ключей подписей уполномоченных лиц федеральных
органов государственной власти включаются в реестр сертификатов клю-
чей подписей, который ведется уполномоченным федеральным органом
исполнительной власти, и выдаются пользователям сертификатов ключей
подписей из этого реестра в порядке, установленном настоящим Феде-
ральным законом для удостоверяющих центров.
3. Порядок организации выдачи сертификатов ключей подписей
уполномоченных лиц органов государственной власти субъектов РФ и
уполномоченных лиц органов местного самоуправления устанавливается
нормативными правовыми актами соответствующих органов.
Статья 17. Использование электронной цифровой
подписи в корпоративной информационной системе
1. Корпоративная информационная система, предоставляющая участ-
никам информационной системы общего пользования услуги удостове-
ряющего центра корпоративной информационной системы, должна соот-
ветствовать требованиям, установленным настоящим Федеральным зако-
ном для информационных систем общего пользования.
355
Основы информационной безопасности
г 2. Порядок использования электронных цифровых подписей в корпо-
j ративной информационной системе устанавливается решением владельца
| корпоративной информационной системы или соглашением участников
> этой системы.
3. Содержание информации в сертификатах ключей подписей, поря-
док ведения реестра сертификатов ключей подписей, порядок хранения
аннулированных сертификатов ключей подписей, случаи утраты указан-
ными сертификатами юридической силы в корпоративной информацион-
ной системе регламентируются решением владельца этой системы или
* соглашением участников корпоративной информационной системы.
Статья 18. Признание иностранного сертификата
ключа подписи
Иностранный сертификат ключа подписи, удостоверенный в соответ-
ствии с законодательством иностранного государства, в котором этот
сертификат ключа подписи зарегистрирован, признается на территории
РФ в случае выполнения установленных законодательством РФ процедур
признания юридического значения иностранных документов.
Статья 19. Случаи замещения печатей
1. Содержание документа на бумажном носителе, заверенного печа-
тью и преобразованного в электронный документ, в соответствии с нор-
мативными правовыми актами или соглашением сторон может заверяться
электронной цифровой подписью уполномоченного лица.
2. В случаях, установленных законами и иными нормативными пра-
вовыми актами РФ или соглашением сторон, электронная цифровая под-
пись в электронном документе, сертификат которой содержит необходимые
при осуществлении данных отношений сведения о правомочиях его вла-
дельца, признается равнозначной собственноручной подписи лица в до-
кументе на бумажном носителе, заверенном печатью.
Глава 5. Заключительные и переходные положения
Статья 20. Приведение нормативных правовых актов
в соответствие с настоящим Федеральным законом
1. Нормативные правовые акты РФ подлежат приведению в соответ-
ствие с настоящим Федеральным законом в течение трех месяцев со дня
вступления в силу настоящего Федерального закона.
Приложение 6
2. Учредительные документы удостоверяющих центров, выдающих
сертификаты ключей подписей для использования в информационных
системах общего пользования, подлежат приведению в соответствие
с настоящим Федеральным законом в течение шести месяцев со дня
вступления в силу настоящего Федерального закона.
Статья 21. Переходные положения
Удостоверяющие центры, создаваемые после вступления в силу на-
стоящего Федерального закона до начала ведения уполномоченным фе-
деральным органом исполнительной власти реестра сертификатов клю-
чей подписей, должны отвечать требованиям настоящего Федерального
закона, за исключением требования предварительно представлять серти-
фикаты ключей подписей своих уполномоченных лиц уполномоченному
федеральному органу исполнительной власти. Соответствующие серти-
фикаты должны быть представлены указанному органу не позднее чем
через три месяца со дня вступления в силу настоящего Федерального за-
кона.
Президент РФ
В. Путин
357
Приложение 7
ФЕДЕРАЛЬНЫЙ ЗАКОН
«О ТЕХНИЧЕСКОМ РЕГУЛИРОВАНИИ»
от 27 декабря 2002 г. № 184-ФЗ
Принят Государственной Думой 15 декабря 2002 г.
Одобрен Советом Федерации 18 декабря 2002 г.
Глава 1. Общие положения
Статья 1. Сфера применения настоящего Федерального
закона
1. Настоящий Федеральный закон регулирует отношения, возникаю-
щие при:
• разработке, принятии, применении и исполнении обязательных тре-
бований к продукции, процессам производства, эксплуатации, хране-
ния, перевозки, реализации и утилизации;
• разработке, принятии, применении и исполнении на добровольной
основе требований к продукции, процессам производства, эксплуата-
ции, хранения, перевозки, реализации и утилизации, выполнению ра-
бот или оказанию услуг;
• оценке соответствия.
Настоящий Федеральный закон также определяет права и обязанно-
сти участников регулируемых настоящим Федеральным законом отно-
шений.
2. Требования к функционированию единой сети связи РФ и к про-
дукции, связанные с обеспечением целостности, устойчивости функцио-
нирования указанной сети связи и ее безопасности, отношения, связан-
ные с обеспечением целостности единой сети связи РФ и использованием
радиочастотного спектра, соответственно устанавливаются и регулиру-
ются законодательством РФ в области связи.
3. Действие настоящего Федерального закона не распространяется
на государственные образовательные стандарты, положения (стандарты)
о бухгалтерском учете и правила (стандарты) аудиторской деятельности,
стандарты эмиссии ценных бумаг и проспектов эмиссии ценных бумаг.
358
Приложение 7
Статья 2. Основные понятия
Для целей настоящего Федерального закона используются следую-
щие основные понятия:
• аккредитация - официальное признание органом по аккредитации
компетентности физического или юридического лица выполнять ра-
боты в определенной области оценки соответствия;
• безопасность продукции, процессов производства, эксплуатации,
хранения, перевозки, реализации и утилизации (далее - безопас-
ность) - состояние, при котором отсутствует недопустимый риск,
связанный с причинением вреда жизни или здоровью граждан, иму-
ществу физических или юридических лиц, государственному или
муниципальному имуществу, окружающей среде, жизни или здоро-
вью животных и растений;
• ветеринарно-санитарные и фитосанитарные меры - обязательные
для исполнения требования и процедуры, устанавливаемые в целях
защиты от рисков, возникающих в связи с проникновением, закреп-
лением или распространением вредных организмов, заболеваний, пе-
реносчиков болезней или болезнетворных организмов, в том числе
в случае переноса или распространения их животными и (или) расте-
ниями, с продукцией, грузами, материалами, транспортными средст-
вами, с наличием добавок, загрязняющих веществ, токсинов, вреди-
телей, сорных растений, болезнетворных организмов, в том числе
с пищевыми продуктами или кормами, а также обязательные для ис-
полнения требования и процедуры, устанавливаемые в целях предот-
вращения иного связанного с распространением вредных организмов
ущерба;
• декларирование соответствия - форма подтверждения соответст-
вия продукции требованиям технических регламентов;
• декларация о соответствии - документ, удостоверяющий соответ-
ствие выпускаемой в обращение продукции требованиям техниче-
ских регламентов;
• заявитель - физическое или юридическое лицо, осуществляющее
обязательное подтверждение соответствия;
• знак обращения на рынке - обозначение, служащее для информи-
рования приобретателей о соответствии выпускаемой в обращение
продукции требованиям технических регламентов;
359
Основы информационной безопасности
• знак соответствия - обозначение, служащее для информирования
приобретателей о соответствии объекта сертификации требованиям
системы добровольной сертификации или национальному стандарту;
• идентификация продукции - установление тождественности харак-
теристик продукции ее существенным признакам;
• контроль (надзор) за соблюдением требований технических рег-
ламентов - проверка выполнения юридическим лицом или индиви-
дуальным предпринимателем требований технических регламентов
к продукции, процессам производства, эксплуатации, хранения, пе-
ревозки, реализации и утилизации и принятие мер по результатам
проверки;
• международный стандарт - стандарт, принятый международной ор-
ганизацией;
• национальный стандарт - стандарт, утвержденный национальным
органом РФ по стандартизации;
• орган по сертификации - юридическое лицо или индивидуальный
предприниматель, аккредитованные в установленном порядке для
выполнения работ по сертификации;
• оценка соответствия - прямое или косвенное определение соблю-
дения требований, предъявляемых к объекту;
• подтверждение соответствия - документальное удостоверение со-
ответствия продукции или иных объектов, процессов производства,
эксплуатации, хранения, перевозки, реализации и утилизации, вы-
полнения работ или оказания услуг требованиям технических регла-
ментов, положениям стандартов или условиям договоров;
• продукция - результат деятельности, представленный в материаль-
но-вещественной форме и предназначенный для дальнейшего ис-
пользования в хозяйственных и иных целях;
• риск - вероятность причинения вреда жизни или здоровью граждан,
имуществу физических или юридических лиц, государственному или
муниципальному имуществу, окружающей среде, жизни или здоро-
вью животных и растений с учетом тяжести этого вреда;
• сертификация - форма осуществляемого органом по сертификации
подтверждения соответствия объектов требованиям технических рег-
ламентов, положениям стандартов или условиям договоров;
• сертификат соответствия - документ, удостоверяющий соответст-
вие объекта требованиям технических регламентов, положениям
стандартов или условиям договоров;
360
Приложение 7
• система сертификации - совокупность правил выполнения работ по
сертификации, ее участников и правил функционирования системы
сертификации в целом;
• стандарт - документ, в котором в целях добровольного многократ-
ного использования устанавливаются характеристики продукции,
правила осуществления и характеристики процессов производства,
эксплуатации, хранения, перевозки, реализации и утилизации, вы-
полнения работ или оказания услуг. Стандарт также может содер-
жать требования к терминологии, символике, упаковке, маркировке
или этикеткам и правилам их нанесения;
• стандартизация - деятельность по установлению правил и характе-
ристик в целях их добровольного многократного использования, на-
правленная на достижение упорядоченности в сферах производства
и обращения продукции и повышение конкурентоспособности
продукции, работ или услуг;
• техническое регулирование - правовое регулирование отношений
в области установления, применения и исполнения обязательных тре-
бований к продукции, процессам производства, эксплуатации,
хранения, перевозки, реализации и утилизации, а также в области ус-
тановления и применения на добровольной основе требований к про-
дукции, процессам производства, эксплуатации, хранения, перевозки,
реализации и утилизации, выполнению работ или оказанию услуг
и правовое регулирование отношений в области оценки соответствия;
• технический регламент - документ, который принят международ-
ным договором РФ, ратифицированным в порядке, установленном
законодательством РФ, или федеральным законом, или указом Пре-
зидента РФ, или постановлением Правительства РФ, и устанавливает
обязательные для применения и исполнения требования к объектам
технического регулирования (продукции, в том числе зданиям,
строениям и сооружениям, процессам производства, эксплуатации,
хранения, перевозки, реализации и утилизации);
Согласно постановлению Госстандарта РФ от 30 января 2004 г.
№ 4 со дня вступления в силу Федерального закона «О техническом регу-
лировании» впредь до вступления в силу соответствующих технических
регламентов требования, установленные действующими национальными
стандартами, подлежат обязательному исполнению только в части,
обеспечивающей достижение целей законодательства РФ о техниче-
ском регулировании
361
Основы информационной безопасности
• форма подтверждения соответствия - определенный порядок до-
кументального удостоверения соответствия продукции или иных
объектов, процессов производства, эксплуатации, хранения, перевоз-
ки, реализации и утилизации, выполнения работ или оказания услуг
требованиям технических регламентов, положениям стандартов или
условиям договоров.
Статья 3. Принципы технического регулирования
Техническое регулирование осуществляется в соответствии с прин-
ципами:
• применения единых правил установления требований к продукции,
процессам производства, эксплуатации, хранения, перевозки, реали-
зации и утилизации, выполнению работ или оказанию услуг;
• соответствия технического регулирования уровню развития нацио-
нальной экономики, развития материально-технической базы, а так-
же уровню научно-технического развития;
• независимости органов по аккредитации, органов по сертификации
от изготовителей, продавцов, исполнителей и приобретателей;
• единой системы и правил аккредитации;
• единства правил и методов исследований (испытаний) и измерений
при проведении процедур обязательной оценки соответствия;
• единства применения требований технических регламентов незави-
симо от видов или особенностей сделок;
• недопустимости ограничения конкуренции при осуществлении ак-
кредитации и сертификации;
• недопустимости совмещения полномочий органа государственного
контроля (надзора) и органа по сертификации;
• недопустимости совмещения одним органом полномочий на аккре-
дитацию и сертификацию;
• недопустимости внебюджетного финансирования государственного
контроля (надзора) за соблюдением требований технических регла-
ментов.
Статья 4. Законодательство Российской Федерации
о техническом регулировании
1. Законодательство РФ о техническом регулировании состоит из на-
стоящего Федерального закона, принимаемых в соответствии с ним фе-
деральных законов и иных нормативных правовых актов РФ.
362
Приложение 7
2. Положения федеральных законов и иных нормативных правовых
актов РФ, касающиеся сферы применения настоящего Федерального за-
кона (в том числе прямо или косвенно предусматривающие осуществле-
ние контроля (надзора) за соблюдением требований технических регла-
ментов), применяются в части, не противоречащей настоящему Феде-
ральному закону.
3. Федеральные органы исполнительной власти вправе издавать
в сфере технического регулирования акты только рекомендательного ха-
рактера, за исключением случаев, установленных ст. 5 настоящего Феде-
рального закона.
4. Если международным договором РФ в сфере технического регули-
рования установлены иные правила, чем те, которые предусмотрены на-
стоящим Федеральным законом, применяются правила международного
договора, а в случаях, если из международного договора следует, что для
его применения требуется издание внутригосударственного акта, приме-
няются правила международного договора и принятое на его основе за-
конодательство РФ.
Статья 5. Особенности технического регулирования
в отношении оборонной продукции (работ, услуг)
и продукции (работ, услуг), сведения о которой
составляют государственную тайну
1. В случае отсутствия требований технических регламентов в отно-
шении оборонной продукции (работ, услуг), поставляемой для федераль-
ных государственных нужд по государственному оборонному заказу,
продукции (работ, услуг), используемой в целях защиты сведений, со-
ставляющих государственную тайну или относимых к охраняемой в со-
ответствии с законодательством РФ информации ограниченного доступа,
продукции (работ, услуг), сведения о которой составляют государствен-
ную тайну, обязательными являются требования к продукции, ее харак-
теристикам и требования к процессам производства, эксплуатации, хра-
нения, перевозки, реализации и утилизации, установленные федеральны-
ми органами исполнительной власти, являющимися в пределах своей
компетенции государственными заказчиками оборонного заказа, и (или)
государственным контрактом.
2. Порядок разработки, принятия и применения документов о стан-
дартизации в отношении продукции (работ, услуг), указанной в п. 1 на-
стоящей статьи, устанавливается Правительством РФ.
363
Основы информационной безопасности
3. Оценка соответствия (в том числе государственный контроль (над-
зор) за соблюдением обязательных требований к продукции (работам, ус-
лугам), указанной в и. 1 настоящей статьи) осуществляется в порядке, ус-
тановленном Правительством РФ.
4. Обязательные требования к продукции (работам, услугам), указан-
ной в п. 1 настоящей статьи, не должны противоречить требованиям тех-
нических регламентов.
Глава 2. Технические регламенты
Статья 6. Цели принятия технических регламентов
1. Технические регламенты принимаются в целях:
• защиты жизни или здоровья граждан, имущества физических или
юридических лиц, государственного или муниципального имущества;
• охраны окружающей среды, жизни или здоровья животных и растений;
• предупреждения действий, вводящих в заблуждение приобретателей.
2. Принятие технических регламентов в иных целях не допускается.
Статья 7. Содержание и применение технических
регламентов
1. Технические регламенты с учетом степени риска причинения вреда
устанавливают минимально необходимые требования, обеспечивающие:
• безопасность излучений;
• биологическую безопасность;
• взрывобезопасность;
• механическую безопасность;
• пожарную безопасность;
• промышленную безопасность;
• термическую безопасность;
• химическую безопасность;
• электрическую безопасность;
• ядерную и радиационную безопасность;
364
Приложение 7
• электромагнитную совместимость в части обеспечения безопасности
работы приборов и оборудования;
• единство измерений.
2. Требования технических регламентов не могут служить препятст-
вием осуществлению предпринимательской деятельности в большей сте-
пени, чем это минимально необходимо для выполнения целей, указанных
в п. 1 ст. 6 настоящего Федерального закона.
3. Технический регламент должен содержать исчерпывающий пере-
чень продукции, процессов производства, эксплуатации, хранения, пере-
возки, реализации и утилизации, в отношении которых устанавливаются
его требования, и правила идентификации объекта технического регули-
рования для целей применения технического регламента. В техническом
регламенте в целях его принятия могут содержаться правила и формы
оценки соответствия (в том числе схемы подтверждения соответствия),
определяемые с учетом степени риска, предельные сроки оценки соот-
ветствия в отношении каждого объекта технического регулирования
и (или) требования к терминологии, упаковке, маркировке или этикеткам
и правилам их нанесения.
Оценка соответствия проводится в формах государственного контро-
ля (надзора), аккредитации, испытания, регистрации, подтверждения со-
ответствия, приемки и ввода в эксплуатацию объекта, строительство ко-
торого закончено, и в иной форме.
Содержащиеся в технических регламентах обязательные требования
к продукции, процессам производства, эксплуатации, хранения, перевоз-
ки, реализации и утилизации, правилам и формам оценки соответствия,
правила идентификации, требования к терминологии, упаковке, марки-
ровке или этикеткам и правилам их нанесения являются исчерпывающи-
ми, имеют прямое действие на всей территории РФ и могут быть измене-
ны только путем внесения изменений и дополнений в соответствующий
технический регламент.
Не включенные в технические регламенты требования к продукции,
процессам производства, эксплуатации, хранения, перевозки, реализации
и утилизации, правилам и формам оценки соответствия, правила иденти-
фикации, требования к терминологии, упаковке, маркировке или этикет-
кам и правилам их нанесения не могут носить обязательный характер.
4. Технический регламент должен содержать требования к характе-
ристикам продукции, процессам производства, эксплуатации, хранения,
перевозки, реализации и утилизации, но не должен содержать требования
к конструкции и исполнению, за исключением случаев, если из-за отсут-
ствия требований к конструкции и исполнению с учетом степени риска
причинения вреда не обеспечивается достижение указанных в п. 1 ста-
365
Основы информационной безопасности
тьи 6 настоящего Федерального закона целей принятия технического
регламента.
5. В технических регламентах с учетом степени риска причинения
вреда могут содержаться специальные требования к продукции, процес-
сам производства, эксплуатации, хранения, перевозки, реализации и ути-
лизации, требования к терминологии, упаковке, маркировке или этикет-
кам и правилам их нанесения, обеспечивающие защиту отдельных кате-
горий граждан (несовершеннолетних, беременных женщин, кормящих
матерей, инвалидов).
6. Технические регламенты применяются одинаковым образом и
в равной мере независимо от страны и (или) места происхождения
продукции, осуществления процессов производства, эксплуатации,
хранения, перевозки, реализации и утилизации, видов или особенностей
сделок и (или) физических и (или) юридических лиц, являющихся
изготовителями, исполнителями, продавцами, приобретателями с учетом
положений и. 9 настоящей статьи.
7. Технический регламент не может содержать требования к продук-
ции, причиняющей вред жизни или здоровью граждан, накапливаемый
при длительном использовании этой продукции и зависящий от других
факторов, не позволяющих определить степень допустимого риска.
В этих случаях технический регламент может содержать требование, ка-
сающееся информирования приобретателя о возможном вреде и о факто-
рах, от которых он зависит.
8. Международные стандарты и (или) национальные стандарты могут
использоваться полностью или частично в качестве основы для разработ-
ки проектов технических регламентов.
9. Технический регламент может содержать специальные требования
к продукции, процессам производства, эксплуатации, хранения, перевоз-
ки, реализации и утилизации, терминологии, упаковке, маркировке или
этикеткам и правилам их нанесения, применяемые в отдельных местах
происхождения продукции, если отсутствие таких требований в силу
климатических и географических особенностей приведет к недостиже-
нию целей, указанных в п. 1 ст. 6 настоящего Федерального закона.
Технические регламенты устанавливают также минимально необхо-
димые ветеринарно-санитарные и фитосанитарные меры в отношении
продукции, происходящей из отдельных стран и (или) мест, в том числе
ограничения ввоза, использования, хранения, перевозки, реализации
и утилизации, обеспечивающие биологическую безопасность (независи-
мо от способов обеспечения безопасности, использованных изготовителем).
366
Приложение 7
Ветеринарно-санитарными и фитосанитарными мерами могут преду-
сматриваться требования к продукции, методам ее обработки и производ-
ства, процедурам испытания продукции, инспектирования, подтвержде-
ния соответствия, карантинные правила, в том числе требования, связан-
ные с перевозкой животных и растений, необходимых для обеспечения
жизни или здоровья животных и растений во время их перевозки мате-
риалов, а также методы и процедуры отбора проб, методы исследования
и оценки риска и иные содержащиеся в технических регламентах требо-
вания.
Ветеринарно-санитарные и фитосанитарные меры разрабатываются
и применяются на основе научных данных, а также с учетом соответст-
вующих международных стандартов, рекомендаций и других документов
международных организаций в целях соблюдения необходимого уровня
ветеринарно-санитарной и фитосанитарной защиты, который определя-
ется с учетом степени фактического научно обоснованного риска. При
оценке степени риска могут приниматься во внимание положения меж-
дународных стандартов, рекомендации международных организаций,
участником которых является РФ, распространенность заболеваний
и вредителей, а также применяемые поставщиками меры по борьбе с за-
болеваниями и вредителями, экологические условия, экономические по-
следствия, связанные с возможным причинением вреда, размеры расхо-
дов на предотвращение причинения вреда.
В случае, если безотлагательное применение ветеринарно-санитар-
ных и фитосанитарных мер необходимо для достижения целей ветери-
нарно-санитарной и фитосанитарной защиты, а соответствующее научное
обоснование является недостаточным или не может быть получено в не-
обходимые сроки, ветеринарно-санитарные или фитосанитарные меры,
предусмотренные техническими регламентами в отношении определен-
ных видов продукции, могут быть применены на основе имеющейся ин-
формации, в том числе информации, полученной от соответствующих
международных организаций, властей иностранных государств, инфор-
мации о применяемых другими государствами соответствующих мерах
или иной информации. До принятия соответствующих технических рег-
ламентов в случае, установленном настоящим абзацем, ветеринарно-
санитарные и фитосанитарные меры действуют в соответствии с и. 5
ст. 46 настоящего Федерального закона.
Ветеринарно-санитарные и фитосанитарные меры должны приме-
няться с учетом соответствующих экономических факторов - потенци-
ального ущерба от уменьшения объема производства продукции или ее
продаж в случае проникновения, закрепления или распространения како-
го-либо вредителя или заболевания, расходов на борьбу с ними или их
367
Основы информационной безопасности
ликвидацию, эффективности применения альтернативных мер по ограни-
чению рисков, а также необходимости сведения к минимуму воздействия
вредителя или заболевания на окружающую среду, производство и обра-
щение продукции.
10. Технический регламент, принимаемый федеральным законом или
постановлением Правительства РФ, вступает в силу не ранее чем через
шесть месяцев со дня его официального опубликования.
11. Правила и методы исследований (испытаний) и измерений, а так-
же правила отбора образцов для проведения исследований (испытаний)
и измерений, необходимые для применения технических регламентов,
разрабатываются с соблюдением положений ст. 9 настоящего Федераль-
ного закона федеральными органами исполнительной власти в пределах
их компетенции в течение шести месяцев со дня официального опубли-
кования технических регламентов и утверждаются Правительством РФ.
12. Правительство РФ разрабатывает предложения об обеспечении
соответствия технического регулирования интересам национальной эко-
номики, уровню развития материально-технической базы и уровню науч-
но-технического развития, а также международным нормам и правилам.
В этих целях Правительством РФ утверждается программа разработки
технических регламентов, которая должна ежегодно уточняться и опуб-
ликовываться.
Правительством РФ организуются постоянные учет и анализ всех
случаев причинения вреда вследствие нарушения требований техниче-
ских регламентов жизни или здоровью граждан, имуществу физических
или юридических лиц, государственному или муниципальному имущест-
ву, окружающей среде, жизни или здоровью животных и растений с уче-
том тяжести этого вреда, а также организуется информирование приобре-
тателей, изготовителей и продавцов о ситуации в области соблюдения
требований технических регламентов.
Статья 8. Виды технических регламентов
1. В РФ действуют:
• общие технические регламенты;
• специальные технические регламенты.
Обязательные требования к отдельным видам продукции, процессам
производства, эксплуатации, хранения, перевозки, реализации и утилиза-
ции определяются совокупностью требований общих технических регла-
ментов и специальных технических регламентов.
368
Приложение 7
2. Требования общего технического регламента обязательны для
применения и соблюдения в отношении любых видов продукции, про-
цессов производства, эксплуатации, хранения, перевозки, реализации
и утилизации.
3. Требованиями специального технического регламента учитывают-
ся технологические и иные особенности отдельных видов продукции,
процессов производства, эксплуатации, хранения, перевозки, реализации
и утилизации.
4. Общие технические регламенты принимаются по вопросам:
• безопасной эксплуатации и утилизации машин и оборудования;
• безопасной эксплуатации зданий, строений, сооружений и безопас-
ного использования прилегающих к ним территорий;
• пожарной безопасности;
• биологической безопасности;
• электромагнитной совместимости;
• экологической безопасности;
• ядерной и радиационной безопасности.
5. Специальные технические регламенты устанавливают требования
только к тем отдельным видам продукции, процессам производства, экс-
плуатации, хранения, перевозки реализации и утилизации, в отношении
которых цели, определенные настоящим Федеральным законом для при-
нятия технических регламентов, не обеспечиваются требованиями общих
технических регламентов.
Специальные технические регламенты устанавливают требования
только к тем отдельным видам продукции, процессам производства, экс-
плуатации, хранения, перевозки, реализации и утилизации, степень риска
причинения вреда которыми выше степени риска причинения вреда, уч-
тенной общим техническим регламентом.
Статья 9. Порядок разработки, принятия, изменения
и отмены технического регламента
1. Технический регламент принимается федеральным законом в по-
рядке, установленном для принятия федеральных законов, с учетом по-
ложений настоящего Федерального закона.
2. Разработчиком проекта технического регламента может быть лю-
бое лицо.
369
Основы информационной безопасности
3. О разработке проекта технического регламента должно быть опуб-
ликовано уведомление в печатном издании федерального органа испол-
нительной власти по техническому регулированию и в информационной
системе общего пользования в электронно-цифровой форме.
Уведомление о разработке проекта технического регламента должно
содержать информацию о том, в отношении какой продукции, процессов
производства, эксплуатации, хранения, перевозки, реализации и утилиза-
ции будут устанавливаться разрабатываемые требования, с кратким из-
ложением цели этого технического регламента, обоснованием необходи-
мости его разработки и указанием тех разрабатываемых требований, ко-
торые отличаются от положений соответствующих международных
стандартов или обязательных требований, действующих на территории
РФ в момент разработки проекта данного технического регламента,
и информацию о способе ознакомления с проектом технического регла-
мента, наименование или фамилию, имя, отчество разработчика проекта
данного технического регламента, почтовый адрес и при наличии адрес
электронной почты, по которым должен осуществляться прием в пись-
менной форме замечаний заинтересованных лиц.
Постановлением Правительства РФ от 2 июня 2003 г. №316Госу-
дарственный комитет РФ по стандартизации и метрологии определен
органом, уполномоченным исполнять функции федерального органа ис-
полнительной власти по техническому регулированию.
4. С момента опубликования уведомления о разработке проекта тех-
нического регламента соответствующий проект технического регламента
должен быть доступен заинтересованным лицам для ознакомления. Раз-
работчик обязан по требованию заинтересованного лица предоставить
ему копию проекта технического регламента. Плата, взимаемая за пре-
доставление данной копии, не может превышать затраты на ее изготовле-
ние.
Разработчик дорабатывает проект технического регламента с учетом
полученных в письменной форме замечаний заинтересованных лиц, про-
водит публичное обсуждение проекта технического регламента и состав-
ляет перечень полученных в письменной форме замечаний заинтересо-
ванных лиц с кратким изложением содержания данных замечаний и ре-
зультатов их обсуждения.
Разработчик обязан сохранять полученные в письменной форме за-
мечания заинтересованных лиц до дня вступления в силу принимаемого
соответствующим нормативным правовым актом технического регламен-
та и предоставлять их депутатам Государственной Думы, представителям
федеральных органов исполнительной власти и указанным в п. 9 настоя-
370
Приложение 7
щей статьи экспертным комиссиям по техническому регулированию по
их запросам.
Срок публичного обсуждения проекта технического регламента со
дня опубликования уведомления о разработке проекта технического рег-
ламента до дня опубликования уведомления о завершении публичного
обсуждения не может быть менее чем два месяца.
5. Уведомление о завершении публичного обсуждения проекта тех-
нического регламента должно быть опубликовано в печатном издании
федерального органа исполнительной власти по техническому регулиро-
ванию и в информационной системе общего пользования в электронно-
цифровой форме.
Уведомление о завершении публичного обсуждения проекта техни-
ческого регламента должно включать в себя информацию о способе оз-
накомления с проектом технического регламента и перечнем полученных
в письменной форме замечаний заинтересованных лиц, а также наимено-
вание или фамилию, имя, отчество разработчика проекта технического
регламента, почтовый адрес и при наличии адрес электронной почты, по
которым с разработчиком может быть осуществлена связь.
Со дня опубликования уведомления о завершении публичного обсу-
ждения проекта технического регламента доработанный проект техниче-
ского регламента и перечень полученных в письменной форме замечаний
заинтересованных лиц должны быть доступны заинтересованным лицам
для ознакомления.
6. Федеральный орган исполнительной власти по техническому регу-
лированию обязан опубликовывать в своем печатном издании уведомле-
ния о разработке проекта технического регламента и завершении пуб-
личного обсуждения этого проекта в течение десяти дней с момента оп-
латы опубликования уведомлений. Порядок опубликования уведомлений
и размер платы за их опубликование устанавливаются Правительством РФ.
7. Внесение субъектом права законодательной инициативы проекта
федерального закона о техническом регламенте в Государственную Думу
осуществляется при наличии следующих документов:
• обоснование необходимости принятия федерального закона о техни-
ческом регламенте с указанием тех требований, которые отличаются
от положений соответствующих международных стандартов или
обязательных требований, действующих на территории РФ в момент
разработки проекта технического регламента;
• финансово-экономическое обоснование принятия федерального за-
кона о техническом регламенте;
371
Основы информационной безопасности
• документы, подтверждающие опубликование уведомления о разра-
ботке проекта технического регламента в соответствии с и. 3 настоя-
щей статьи;
• документы, подтверждающие опубликование уведомления о завер-
шении публичного обсуждения проекта технического регламента
в соответствии с и. 5 настоящей статьи;
• перечень полученных в письменной форме замечаний заинтересо-
ванных лиц, указанный в п. 4 настоящей статьи.
Внесенный в Государственную Думу проект федерального закона
о техническом регламенте с приложением документов, указанных в на-
стоящем пункте, направляется Государственной Думой в Правительство
РФ. На проект федерального закона о техническом регламенте Прави-
тельство РФ в течение месяца направляет в Государственную Думу от-
зыв, подготовленный с учетом заключения экспертной комиссии по тех-
ническому регулированию.
8. Проект федерального закона о техническом регламенте, принятый
Государственной Думой в первом чтении, публикуется в печатном изда-
нии федерального органа исполнительной власти по техническому регу-
лированию и в информационной системе общего пользования в элек-
тронно-цифровой форме.
Поправки к принятому в первом чтении проекту федерального закона
о техническом регламенте после окончания срока их подачи публикуют-
ся в информационной системе общего пользования в электронно-
цифровой форме не позднее чем за месяц до рассмотрения Государствен-
ной Думой проекта федерального закона о техническом регламенте во
втором чтении.
Федеральный орган исполнительной власти по техническому регули-
рованию обязан опубликовать в своем печатном издании проект феде-
рального закона о техническом регламенте в течение десяти дней с мо-
мента оплаты его опубликования. Порядок опубликования проекта феде-
рального закона о техническом регламенте и размер платы за его
опубликование устанавливаются Правительством РФ.
Проект федерального закона о техническом регламенте, подготов-
ленный ко второму чтению, направляется Государственной Думой в Пра-
вительство РФ не позднее чем за месяц до рассмотрения указанного про-
екта Государственной Думой во втором чтении. На проект федерального
закона о техническом регламенте Правительство РФ в течение месяца
направляет в Государственную Думу отзыв, подготовленный с учетом за-
ключения экспертной комиссии по техническому регулированию.
372
11риложение 7
9. Экспертиза проектов технических регламентов осуществляется
экспертными комиссиями по техническому регулированию, в состав ко-
торых на паритетных началах включаются представители федеральных
органов исполнительной власти, научных организаций, саморегулируе-
мых организаций, общественных объединений предпринимателей и по-
требителей. Порядок создания и деятельности экспертных комиссий по
техническому регулированию утверждается Правительством РФ. Феде-
ральным органом исполнительной власти по техническому регулирова-
нию утверждается персональный состав экспертных комиссий по техни-
ческому регулированию и осуществляется обеспечение их деятельности.
Заседания экспертных комиссий по техническому регулированию явля-
ются открытыми.
Заключения экспертных комиссий по техническому регулированию
подлежат обязательному опубликованию в печатном издании федераль-
ного органа исполнительной власти по техническому регулированию
и в информационной системе общего пользования в электронно-
цифровой форме. Порядок опубликования таких заключений и размер
платы за их опубликование устанавливаются Правительством РФ.
10. В случае несоответствия технического регламента интересам на-
циональной экономики, развитию материально-технической базы и уров-
ню научно-технического развития, а также международным нормам
и правилам Правительство РФ обязано начать процедуру внесения изме-
нений в технический регламент или отмены технического регламента.
Внесение изменений и дополнений в технический регламент или его
отмена осуществляется в порядке, предусмотренном настоящей статьей и
статьей 10 настоящего Федерального закона в части разработки и приня-
тия технических регламентов.
Статья 10. Особый порядок разработки и принятия
технических регламентов
1. В исключительных случаях при возникновении обстоятельств,
приводящих к непосредственной угрозе жизни или здоровью граждан,
окружающей среде, жизни или здоровью животных и растений, и в слу-
чаях, если для обеспечения безопасности продукции, процессов произ-
водства, эксплуатации, хранения, перевозки, реализации и утилизации
необходимо незамедлительное принятие соответствующего нормативно-
го правового акта о техническом регламенте, Президент РФ вправе из-
дать технический регламент без его публичного обсуждения.
2. Технический регламент может быть принят международным дого-
вором (в том числе договором с государствами - участниками Содруже-
ства Независимых Государств), подлежащим ратификации в порядке, ус-
373
Основы информационной безопасности
тановленном законодательством РФ. В этом случае проект технического
регламента разрабатывается в порядке, установленном пп. 2-6 ст. 9 на-
стоящего Федерального закона.
3. До вступления в силу федерального закона о техническом регла-
менте Правительство РФ вправе издать постановление о соответствую-
щем техническом регламенте, разработанном в порядке, установленном
пп. 2-6 ст. 9 настоящего Федерального закона.
Проект постановления Правительства РФ о техническом регламенте,
подготовленный к рассмотрению на заседании Правительства РФ,
не позднее чем за месяц до его рассмотрения направляется на экспертизу
в соответствующую экспертную комиссию по техническому регулирова-
нию, которая создана и осуществляет свою деятельность в порядке, уста-
новленном п. 9 ст. 9 настоящего Федерального закона. Проект постанов-
ления Правительства РФ о техническом регламенте рассматривается на
заседании Правительства РФ с учетом заключения соответствующей экс-
пертной комиссии по техническому регулированию.
Проект постановления Правительства РФ о техническом регламенте
должен быть опубликован в печатном издании федерального органа ис-
полнительной власти по техническому регулированию и в информацион-
ной системе общего пользования в электронно-цифровой форме не позд-
нее чем за месяц до его рассмотрения на заседании Правительства РФ.
Порядок опубликования указанного проекта постановления устанавлива-
ется Правительством РФ.
4. Со дня вступления в силу федерального закона о техническом рег-
ламенте соответствующий технический регламент, изданный указом
Президента РФ или постановлением Правительства РФ, утрачивает силу.
Глава 3. Стандартизация
Статья 11. Цели стандартизации
Стандартизация осуществляется в целях:
• повышения уровня безопасности жизни или здоровья граждан, иму-
щества физических или юридических лиц, государственного или му-
ниципального имущества, экологической безопасности, безопасности
жизни или здоровья животных и растений и содействия соблюдению
требований технических регламентов;
• повышения уровня безопасности объектов с учетом риска возникно-
вения чрезвычайных ситуаций природного и техногенного характера;
• обеспечения научно-технического прогресса;
374
Приложение
• повышения конкурентоспособности продукции, работ, услуг;
• рационального использования ресурсов;
• технической и информационной совместимости:
• сопоставимости результатов исследований (испытаний) и измерений,
технических и экономико-статистических данных;
• взаимозаменяемости продукции.
Статья 12. Принципы стандартизации
Стандартизация осуществляется в соответствии с принципами:
• добровольного применения стандартов;
• максимального учета при разработке стандартов законных интересов
заинтересованных лиц;
• применения международного стандарта как основы разработки на-
ционального стандарта, за исключением случаев, если такое приме-
нение признано невозможным вследствие несоответствия требований
международных стандартов климатическим и географическим осо-
бенностям РФ, техническим и (или) технологическим особенностям
или по иным основаниям либо РФ в соответствии с установленными
процедурами выступала против принятия международного стандарта
или отдельного его положения;
• недопустимости создания препятствий производству и обращению
продукции, выполнению работ и оказанию услуг в большей степени,
чем это минимально необходимо для выполнения целей, указанных
в ст. 11 настоящего Федерального закона;
• недопустимости установления таких стандартов, которые противоре-
чат техническим регламентам;
• обеспечения условий для единообразного применения стандартов.
Статья 13. Документы в области стандартизации
К документам в области стандартизации, используемым на террито-
рии РФ, относятся:
• национальные стандарты;
• правила стандартизации, нормы и рекомендации в области стандар-
тизации;
375
Основы информационной безопасности
• применяемые в установленном порядке классификации, общероссий-
ские классификаторы технико-экономической и социальной инфор-
мации;
• стандарты организаций.
Статья 14. Национальный орган Российской
Федерации по стандартизации, технические комитеты
по стандартизации
1. Национальный орган РФ по стандартизации (далее - националь-
ный орган по стандартизации):
• утверждает национальные стандарты;
• принимает программу разработки национальных стандартов;
• организует экспертизу проектов национальных стандартов;
• обеспечивает соответствие национальной системы стандартизации
интересам национальной экономики, состоянию материально-
технической базы и научно-техническому прогрессу;
• осуществляет учет национальных стандартов, правил стандартиза-
ции, норм и рекомендаций в этой области и обеспечивает их доступ-
ность заинтересованным лицам;
• создает технические комитеты по стандартизации и координирует их
деятельность;
• организует опубликование национальных стандартов и их распро-
странение;
• участвует в соответствии с уставами международных организаций
в разработке международных стандартов и обеспечивает учет инте-
ресов РФ при их принятии;
• утверждает изображение знака соответствия национальным стандартам;
• представляет РФ в международных организациях, осуществляющих
деятельность в области стандартизации.
2. Правительство РФ определяет орган, уполномоченный на испол-
нение функций национального органа по стандартизации.
Постановлением Правительства РФ от 2 июня 2003 г. No. 316 Госу-
дарственный комитет РФ по стандартизации и метрологии определен
органом, уполномоченным исполнять функции национального органа РФ
по стандартизации.
376
Приложение 7
3. В целях настоящей статьи под опубликованием национального
стандарта национальным органом по стандартизации понимается
опубликование национального стандарта на русском языке в печатном
издании и в информационной системе общего пользования в электронно-
цифровой форме.
4. В состав технических комитетов по стандартизации на паритетных
началах и добровольной основе могут включаться представители феде-
ральных органов исполнительной власти, научных организаций, саморе-
гулируемых организаций, общественных объединений предпринимателей
и потребителей.
Порядок создания и деятельности технических комитетов по стан-
дартизации утверждается национальным органом по стандартизации.
Заседания технических комитетов по стандартизации являются от-
крытыми.
Статья 15. Национальные стандарты, общероссийские
классификаторы технико-экономической и социальной
информации
1. Национальные стандарты и общероссийские классификаторы тех-
нико-экономической и социальной информации, в том числе правила их
разработки и применения, представляют собой национальную систему
стандартизации.
2. Национальные стандарты разрабатываются в порядке, установлен-
ном настоящим Федеральным законом. Национальные стандарты утвер-
ждаются национальным органом по стандартизации в соответствии с пра-
вилами стандартизации, нормами и рекомендациями в этой области.
Национальный стандарт применяется на добровольной основе рав-
ным образом и в равной мере независимо от страны и (или) места проис-
хождения продукции, осуществления процессов производства, эксплуа-
тации, хранения, перевозки, реализации и утилизации, выполнения работ
и оказания услуг, видов или особенностей сделок и (или) лиц, являющих-
ся изготовителями, исполнителями, продавцами, приобретателями.
Применение национального стандарта подтверждается знаком соот-
ветствия национальному стандарту.
Об использовании знака соответствия национальным стандартам
см. приказ Госстандарта РФ от 15 апреля 2003 г. No. 225.
3. Общероссийские классификаторы технико-экономической и соци-
альной информации (далее - общероссийские классификаторы) - норма-
тивные документы, распределяющие технико-экономическую и социаль-
377
Основы информационной безопасности
ную информацию в соответствии с ее классификацией (классами, груп-
пами, видами и другим) и являющиеся обязательными для применения
при создании государственных информационных систем и информаци-
онных ресурсов и межведомственном обмене информацией.
Порядок разработки, принятия, введения в действие, ведения и при-
менения общероссийских классификаторов в социально-экономической
области (в том числе в области прогнозирования, статистического учета,
банковской деятельности, налогообложения, при межведомственном ин-
формационном обмене, создании информационных систем и информаци-
онных ресурсов) устанавливается Правительством РФ.
Постановлением Правительства РФ от 10 ноября 2003 г. No. 677
утверждено положение о разработке, принятии, введении в действие,
ведении и применении общероссийских классификаторов технико-эконо-
мической и социальной информации в социально-экономической области.
Статья 16. Правила разработки и утверждения
национальных стандартов
1. Национальный орган по стандартизации разрабатывает и утвер-
ждает программу разработки национальных стандартов. Национальный
орган по стандартизации должен обеспечить доступность программы
разработки национальных стандартов заинтересованным лицам для озна-
комления.
2. Разработчиком национального стандарта может быть любое лицо.
3. Уведомление о разработке национального стандарта направляется
в национальный орган по стандартизации и публикуется в информацион-
ной системе общего пользования в электронно-цифровой форме и
в печатном издании федерального органа исполнительной власти по тех-
ническому регулированию. Уведомление о разработке национального
стандарта должно содержать информацию об имеющихся в проекте на-
ционального стандарта положениях, которые отличаются от положений
соответствующих международных стандартов.
Разработчик национального стандарта должен обеспечить доступ-
ность проекта национального стандарта заинтересованным лицам для оз-
накомления. Разработчик обязан по требованию заинтересованного лица
предоставить ему копию проекта национального стандарта. Плата, взи-
маемая разработчиком за предоставление указанной копии, не может
превышать затраты на ее изготовление.
В случае, если разработчиком национального стандарта является фе-
деральный орган исполнительной власти, плата за предоставление копии
проекта национального стандарта вносится в федеральный бюджет.
378
Приложение 7
4. Разработчик дорабатывает проект национального стандарта с уче-
том полученных в письменной форме замечаний заинтересованных лиц,
проводит публичное обсуждение проекта национального стандарта и со-
ставляет перечень полученных в письменной форме замечаний заинтере-
сованных лиц с кратким изложением содержания данных замечаний и ре-
зультатов их обсуждения.
Разработчик обязан сохранять полученные в письменной форме за-
мечания заинтересованных лиц до утверждения национального стандарта
и представлять их в национальный орган по стандартизации и техниче-
ские комитеты по стандартизации по их запросам.
Срок публичного обсуждения проекта национального стандарта со
дня опубликования уведомления о разработке проекта национального
стандарта до дня опубликования уведомления о завершении публичного
обсуждения не может быть менее чем два месяца.
5. Уведомление о завершении публичного обсуждения проекта на-
ционального стандарта должно быть опубликовано в печатном издании
федерального органа исполнительной власти по техническому регулиро-
ванию и в информационной системе общего пользования в электронно-
цифровой форме.
Со дня опубликования уведомления о завершении публичного обсу-
ждения проекта национального стандарта доработанный проект нацио-
нального стандарта и перечень полученных в письменной форме замеча-
ний заинтересованных лиц должны быть доступны заинтересованным
лицам для ознакомления.
6. Порядок опубликования уведомления о разработке проекта нацио-
нального стандарта и уведомления о завершении публичного обсуждения
проекта национального стандарта и размер платы за их опубликование
устанавливаются Правительством РФ.
7. Проект национального стандарта одновременно с перечнем полу-
ченных в письменной форме замечаний заинтересованных лиц представ-
ляется разработчиком в технический комитет по стандартизации, кото-
рый организует проведение экспертизы данного проекта.
8. На основании указанных в п. 7 настоящей статьи документов
и с учетом результатов экспертизы технический комитет по стандартиза-
ции готовит мотивированное предложение об утверждении или отклоне-
нии проекта национального стандарта. Данное предложение одновремен-
но с указанными в и. 7 настоящей статьи документами и результатами
экспертизы направляется в национальный орган по стандартизации.
379
Основы информационной безопасности
Национальный орган по стандартизации на основании документов,
представленных техническим комитетом по стандартизации, принимает
решение об утверждении или отклонении национального стандарта.
Уведомление об утверждении национального стандарта подлежит
опубликованию в печатном издании федерального органа исполнитель-
ной власти по техническому регулированию и в информационной систе-
ме общего пользования в электронно-цифровой форме в течение тридца-
ти дней со дня утверждения национального стандарта.
В случае, если национальный стандарт отклонен, мотивированное
решение национального органа по стандартизации с приложением ука-
занных в п. 7 настоящей статьи документов направляется разработчику
проекта национального стандарта.
9. Национальный орган по стандартизации утверждает и опублико-
вывает в печатном издании федерального органа исполнительной власти
по техническому регулированию и в информационной системе общего
пользования в электронно-цифровой форме перечень национальных
стандартов, которые могут на добровольной основе применяться для со-
блюдения требований технических регламентов.
Статья 17. Стандарты организаций
1. Стандарты организаций, в том числе коммерческих, обществен-
ных, научных организаций* саморегулируемых организаций, объедине-
ний юридических лиц могут разрабатываться и утверждаться ими само-
стоятельно исходя из необходимости применения этих стандартов для
целей, указанных в ст. И настоящего Федерального закона, для совер-
шенствования производства и обеспечения качества продукции, выпол-
нения работ, оказания услуг, а также для распространения и использова-
ния полученных в различных областях знаний результатов исследований
(испытаний), измерений и разработок.
Порядок разработки, утверждения, учета, изменения и отмены стан-
дартов организаций устанавливается ими самостоятельно с учетом поло-
жений ст. 12 настоящего Федерального закона.
Проект стандарта организации может представляться разработчиком
в технический комитет по стандартизации, который организует проведе-
ние экспертизы данного проекта. На основании результатов экспертизы
данного проекта технический комитет по стандартизации готовит заклю-
чение, которое направляет разработчику проекта стандарта.
2. Стандарты организаций применяются равным образом и в равной
мере независимо от страны и (или) места происхождения продукции,
Приложение 7
осуществления процессов производства, эксплуатации, хранения, пере-
возки, реализации и утилизации, выполнения работ и оказания услуг, ви-
дов или особенностей сделок и (или) лиц, которые являются изготовите-
лями, исполнителями, продавцами, приобретателями.
Глава 4. Подтверждение соответствия
Статья 18. Цели подтверждения соответствия
Подтверждение соответствия осуществляется в целях:
• удостоверения соответствия продукции, процессов производства,
эксплуатации, хранения, перевозки, реализации и утилизации, работ,
услуг или иных объектов техническим регламентам, стандартам,
условиям договоров;
• содействия приобретателям в компетентном выборе продукции, ра-
бот, услуг;
• повышения конкурентоспособности продукции, работ, услуг на рос-
сийском и международном рынках;
• создания условий для обеспечения свободного перемещения товаров
по территории РФ, а также для осуществления международного эко-
номического, научно-технического сотрудничества и международной
торговли.
Статья 19. Принципы подтверждения соответствия
1. Подтверждение соответствия осуществляется на основе принципов:
• доступности информации о порядке осуществления подтверждения
соответствия заинтересованным лицам;
• недопустимости применения обязательного подтверждения соответ-
ствия к объектам, в отношении которых не установлены требования
технических регламентов;
• установления перечня форм и схем обязательного подтверждения со-
ответствия в отношении определенных видов продукции в соответ-
ствующем техническом регламенте;
• уменьшения сроков осуществления обязательного подтверждения
соответствия и затрат заявителя;
• недопустимости принуждения к осуществлению добровольного под-
тверждения соответствия, в том числе в определенной системе доб-
ровольной сертификации;
381
Основы информационной безопасности
• защиты имущественных интересов заявителей, соблюдения коммер-
ческой тайны в отношении сведений, полученных при осуществле-
нии подтверждения соответствия;
• недопустимости подмены обязательного подтверждения соответст-
вия добровольной сертификацией.
2. Подтверждение соответствия разрабатывается и применяется рав-
ным образом и в равной мере независимо от страны и (или) места проис-
хождения продукции, осуществления процессов производства, эксплуа-
тации, хранения, перевозки, реализации и утилизации, выполнения работ
и оказания услуг, видов или особенностей сделок и (или) лиц, которые
являются изготовителями, исполнителями, продавцами, приобретателями.
Статья 20. Формы подтверждения соответствия
1. Подтверждение соответствия на территории РФ может носить доб-
ровольный или обязательный характер.
2. Добровольное подтверждение соответствия осуществляется в фор-
ме добровольной сертификации.
3. Обязательное подтверждение соответствия осуществляется в формах:
• принятия декларации о соответствии (далее - декларирование соот-
ветствия);
• обязательной сертификации.
4. Порядок применения форм обязательного подтверждения соответ-
ствия устанавливается настоящим Федеральным законом.
Статья 21. Добровольное подтверждение соответствия
1. Добровольное подтверждение соответствия осуществляется по
инициативе заявителя на условиях договора между заявителем и органом
по сертификации. Добровольное подтверждение соответствия может
осуществляться для установления соответствия национальным стандар-
там, стандартам организаций, системам добровольной сертификации, ус-
ловиям договоров.
Объектами добровольного подтверждения соответствия являются
продукция, процессы производства, эксплуатации, хранения, перевозки,
реализации и утилизации, работы и услуги, а также иные объекты, в от-
ношении которых стандартами, системами добровольной сертификации
и договорами устанавливаются требования.
382
Приложение 7
Орган по сертификации:
• осуществляет подтверждение соответствия объектов добровольного
подтверждения соответствия;
• выдает сертификаты соответствия на объекты, прошедшие добро-
вольную сертификацию;
• предоставляет заявителям право на применение знака соответствия,
если применение знака соответствия предусмотрено соответствую-
щей системой добровольной сертификации;
• приостанавливает или прекращает действие выданных им сертифи-
катов соответствия.
2. Система добровольной сертификации может быть создана юриди-
ческим лицом и (или) индивидуальным предпринимателем или несколь-
кими юридическими лицами и (или) индивидуальными предпринимате-
лями.
Лицо или лица, создавшие систему добровольной сертификации, ус-
танавливают перечень объектов, подлежащих сертификации, и их харак-
теристик, на соответствие которым осуществляется добровольная серти-
фикация, правила выполнения предусмотренных данной системой добро-
вольной сертификации работ и порядок их оплаты, определяют
участников данной системы добровольной сертификации. Системой доб-
ровольной сертификации может предусматриваться применение знака
соответствия.
3. Система добровольной сертификации может быть зарегистрирова-
на федеральным органом исполнительной власти по техническому регу-
лированию.
Для регистрации системы добровольной сертификации в федераль-
ный орган исполнительной власти по техническому регулированию
представляются:
• свидетельство о государственной регистрации юридического лица
и (или) индивидуального предпринимателя;
• правила функционирования системы добровольной сертификации,
которыми предусмотрены положения и. 2 настоящей статьи;
• изображение знака соответствия, применяемое в данной системе
добровольной сертификации, если применение знака соответствия
предусмотрено, и порядок применения знака соответствия;
• документ об оплате регистрации системы добровольной сертификации.
383
Основы информационной безопасности
Регистрация системы добровольной сертификации осуществляется
в течение пяти дней с момента представления документов, предусмот-
ренных настоящим пунктом для регистрации системы добровольной
сертификации, в федеральный орган исполнительной власти по техниче-
скому регулированию. Порядок регистрации системы добровольной сер-
тификации и размер платы за регистрацию устанавливаются Правитель-
ством РФ. Плата за регистрацию системы добровольной сертификации
подлежит зачислению в федеральный бюджет.
4. Отказ в регистрации системы добровольной сертификации допус-
кается только в случае непредставления документов, предусмотренных
п. 3 настоящей статьи, или совпадения наименования системы и (или)
изображения знака соответствия с наименованием системы и (или) изо-
бражением знака соответствия зарегистрированной ранее системы доб-
ровольной сертификации. Уведомление об отказе в регистрации системы
добровольной сертификации направляется заявителю в течение трех дней
со дня принятия решения об отказе в регистрации этой системы с указа-
нием оснований для отказа.
Отказ в регистрации системы добровольной сертификации может
быть обжалован в судебном порядке.
5. Федеральный орган исполнительной власти по техническому регу-
лированию ведет единый реестр зарегистрированных систем доброволь-
ной сертификации, содержащий сведения о юридических лицах и (или)
об индивидуальных предпринимателях, создавших системы доброволь-
ной сертификации, о правилах функционирования систем добровольной
сертификации, которыми предусмотрены положения и. 2 настоящей ста-
тьи, знаках соответствия и порядке их применения. Федеральный орган
исполнительной власти по техническому регулированию должен обеспе-
чить доступность сведений, содержащихся в едином реестре зарегистри-
рованных систем добровольной сертификации, заинтересованным лицам.
Порядок ведения единого реестра зарегистрированных систем добро-
вольной сертификации и порядок предоставления сведений, содержа-
щихся в этом реестре, устанавливаются федеральным органом исполни-
тельной власти по техническому регулированию.
Статья 22. Знаки соответствия
1. Объекты сертификации, сертифицированные в системе доброволь-
ной сертификации, могут маркироваться знаком соответствия системы
добровольной сертификации. Порядок применения такого знака соответ-
ствия устанавливается правилами соответствующей системы доброволь-
ной сертификации.
384
Приложение 7
2. Применение знака соответствия национальному стандарту осуще-
ствляется заявителем на добровольной основе любым удобным для зая-
вителя способом в порядке, установленном национальным органом по
стандартизации.
3. Объекты, соответствие которых не подтверждено в порядке, уста-
новленном настоящим Федеральным законом, не могут быть маркирова-
ны знаком соответствия.
Статья 23. Обязательное подтверждение соответствия
1. Обязательное подтверждение соответствия проводится только
в случаях, установленных соответствующим техническим регламентом,
и исключительно на соответствие требованиям технического регламента.
Объектом обязательного подтверждения соответствия может быть
только продукция, выпускаемая в обращение на территории РФ.
2. Форма и схемы обязательного подтверждения соответствия могут
устанавливаться только техническим регламентом с учетом степени рис-
ка недостижения целей технических регламентов.
3. Декларация о соответствии и сертификат соответствия имеют рав-
ную юридическую силу независимо от схем обязательного подтвержде-
ния соответствия и действуют на всей территории РФ.
4. Работы по обязательному подтверждению соответствия подлежат
оплате заявителем.
Правительством РФ устанавливается методика определения стоимо-
сти работ по обязательному подтверждению соответствия, которая пре-
дусматривает применение единых правил и принципов установления цен
на продукцию одинаковых или сходных видов независимо от страны
и (или) места ее происхождения, а также лиц, которые являются заявите-
лями.
Статья 24. Декларирование соответствия
1. Декларирование соответствия осуществляется по одной из сле-
дующих схем:
• принятие декларации о соответствии на основании собственных до-
казательств;
• принятие декларации о соответствии на основании собственных до-
казательств, доказательств, полученных с участием органа по серти-
фикации и (или) аккредитованной испытательной лаборатории (цен-
тра) (далее - третья сторона).
385
Основы информационной безопасности
При декларировании соответствия заявителем может быть зарегист-
рированные в соответствии с законодательством РФ на ее территории
юридическое лицо или физическое лицо в качестве индивидуального
предпринимателя, либо являющиеся изготовителем или продавцом, либо
выполняющие функции иностранного изготовителя на основании дого-
вора с ним в части обеспечения соответствия поставляемой продукции
требованиям технических регламентов и в части ответственности за не-
соответствие поставляемой продукции требованиям технических регла-
ментов (лицо, выполняющее функции иностранного изготовителя).
Круг заявителей устанавливается соответствующим техническим
регламентом.
Схема декларирования соответствия с участием третьей стороны ус-
танавливается в техническом регламенте в случае, если отсутствие треть-
ей стороны приводит к недостижению целей подтверждения соответствия.
2. При декларировании соответствия на основании собственных до-
казательств заявитель самостоятельно формирует доказательственные
материалы в целях подтверждения соответствия продукции требованиям
технических регламентов. В качестве доказательственных материалов
используются техническая документация, результаты собственных ис-
следований (испытаний) и измерений и (или) другие документы, послу-
жившие мотивированным основанием для подтверждения соответствия
продукции требованиям технических регламентов. Состав доказательст-
венных материалов определяется соответствующим техническим регла-
ментом.
3. При декларировании соответствия на основании собственных до-
казательств и полученных с участием третьей стороны доказательств зая-
витель по своему выбору в дополнение к собственным доказательствам,
сформированным в порядке, предусмотренном п. 2 настоящей статьи:
• включает в доказательственные материалы протоколы исследований
(испытаний) и измерений, проведенных в аккредитованной испыта-
тельной лаборатории (центре);
• предоставляет сертификат системы качества, в отношении которого
предусматривается контроль (надзор) органа по сертификации, вы-
давшего данный сертификат, за объектом сертификации.
4. Сертификат системы качества может использоваться в составе до-
казательств при принятии декларации о соответствии любой продукции,
за исключением случая, если для такой продукции техническими регла-
ментами предусмотрена иная форма подтверждения соответствия.
5. Декларация о соответствии оформляется на русском языке и долж-
на содержать:
386
Приложение 7
• наименование и местонахождение заявителя;
• наименование и местонахождение изготовителя;
• информацию об объекте подтверждения соответствия, позволяющую
идентифицировать этот объект;
• наименование технического регламента, на соответствие требовани-
ям которого подтверждается продукция;
• указание на схему декларирования соответствия;
• заявление заявителя о безопасности продукции при ее использовании
в соответствии с целевым назначением и принятии заявителем мер
по обеспечению соответствия продукции требованиям технических
регламентов;
• сведения о проведенных исследованиях (испытаниях) и измерениях,
сертификате системы качества, а также документах, послуживших
основанием для подтверждения соответствия продукции требовани-
ям технических регламентов;
• срок действия декларации о соответствии;
• иные предусмотренные соответствующими техническими регламен-
тами сведения.
Срок действия декларации о соответствии определяется техническим
регламентом.
Форма декларации о соответствии утверждается федеральным орга-
ном исполнительной власти по техническому регулированию.
6. Оформленная по установленным правилам декларация о соответ-
ствии подлежит регистрации федеральным органом исполнительной вла-
сти по техническому регулированию в течение трех дней.
Для регистрации декларации о соответствии заявитель представляет
в федеральный орган исполнительной власти по техническому регулиро-
ванию оформленную в соответствии с требованиями и. 5 настоящей ста-
тьи декларацию о соответствии.
Порядок ведения реестра деклараций о соответствии, порядок пре-
доставления содержащихся в указанном реестре сведений и порядок оп-
латы за предоставление содержащихся в указанном реестре сведений оп-
ределяются Правительством РФ.
7. Декларация о соответствии и составляющие доказательственные
материалы документы хранятся у заявителя в течение трех лет с момента
окончания срока действия декларации. Второй экземпляр декларации
о соответствии хранится в федеральном органе исполнительной власти
по техническому регулированию.
387
Основы информационной безопасности
Статья 25. Обязательная сертификация
1. Обязательная сертификация осуществляется органом по сертифи-
кации на основании договора с заявителем. Схемы сертификации, приме-
няемые для сертификации определенных видов продукции, устанавлива-
ются соответствующим техническим регламентом.
2. Соответствие продукции требованиям технических регламентов
подтверждается сертификатом соответствия, выдаваемым заявителю ор-
ганом по сертификации.
Сертификат соответствия включает в себя:
• наименование и местонахождение заявителя;
• наименование и местонахождение изготовителя продукции, про-
шедшей сертификацию;
• наименование и местонахождение органа по сертификации, выдав-
шего сертификат соответствия;
• информацию об объекте сертификации, позволяющую идентифици-
ровать этот объект;
• наименование технического регламента, на соответствие требовани-
ям которого проводилась сертификация;
• информацию о проведенных исследованиях (испытаниях) и измере-
ниях;
• информацию о документах, представленных заявителем в орган
по сертификации в качестве доказательств соответствия продукции
требованиям технических регламентов;
• срок действия сертификата соответствия.
Срок действия сертификата соответствия определяется соответст-
вующим техническим регламентом.
Форма сертификата соответствия утверждается федеральным орга-
ном исполнительной власти по техническому регулированию.
Статья 26. Организация обязательной сертификации
1. Обязательная сертификация осуществляется органом по сертифи-
кации, аккредитованным в порядке, установленном Правительством РФ.
2. Орган по сертификации:
• привлекает на договорной основе для проведения исследований (ис-
пытаний) и измерений испытательные лаборатории (центры), аккре-
388
Приложение 7
дитованные в порядке, установленном Правительством РФ (далее -
аккредитованные испытательные лаборатории (центры);
• осуществляет контроль за объектами сертификации, если такой кон-
троль предусмотрен соответствующей схемой обязательной серти-
фикации и договором;
• ведет реестр выданных им сертификатов соответствия;
• информирует соответствующие органы государственного контроля
(надзора) за соблюдением требований технических регламентов
о продукции, поступившей на сертификацию, но не прошедшей ее;
• приостанавливает или прекращает действие выданного им сертифи-
ката соответствия;
• обеспечивает предоставление заявителям информации о порядке
проведения обязательной сертификации;
• устанавливает стоимость работ по сертификации на основе утвер-
жденной Правительством РФ методики определения стоимости таких
работ.
3. Федеральный орган исполнительной власти по техническому регу-
лированию ведет единый реестр выданных сертификатов соответствия.
Порядок ведения единого реестра выданных сертификатов соответст-
вия, порядок предоставления содержащихся в едином реестре сведений
и порядок оплаты за предоставление содержащихся в указанном реестре
сведений устанавливаются Правительством РФ.
Порядок передачи сведений о выданных сертификатах соответствия
в единый реестр выданных сертификатов устанавливается федеральным
органом исполнительной власти по техническому регулированию.
4. Исследования (испытания) и измерения продукции при осуществ-
лении обязательной сертификации проводятся аккредитованными испы-
тательными лабораториями (центрами).
Аккредитованные испытательные лаборатории (центры) проводят
исследования (испытания) и измерения продукции в пределах своей об-
ласти аккредитации на условиях договоров с органами по сертификации.
Органы по сертификации не вправе предоставлять аккредитованным ис-
пытательным лабораториям (центрам) сведения о заявителе.
Аккредитованная испытательная лаборатория (центр) оформляет ре-
зультаты исследований (испытаний) и измерений соответствующими
протоколами, на основании которых орган по сертификации принимает
решение о выдаче или об отказе в выдаче сертификата соответствия. Ак-
кредитованная испытательная лаборатория (центр) обязана обеспечить
достоверность результатов исследований (испытаний) и измерений.
389
Основы информационной безопасности
Статья 27. Знак обращения на рынке
1. Продукция, соответствие которой требованиям технических регла-
ментов подтверждено в порядке, предусмотренном настоящим Феде-
ральным законом, маркируется знаком обращения на рынке. Изображе-
ние знака обращения на рынке устанавливается Правительством РФ.
Данный знак не является специальным защищенным знаком и наносится
в информационных целях.
2. Маркировка знаком обращения на рынке осуществляется заявите-
лем самостоятельно любым удобным для него способом.
Продукция, соответствие которой требованиям технических регла-
ментов не подтверждено в порядке, установленном настоящим Федераль-
ным законом, не может быть маркирована знаком обращения на рынке.
Статья 28. Права и обязанности заявителя в области
обязательного подтверждения соответствия
1. Заявитель вправе:
• выбирать форму и схему подтверждения соответствия, предусмот-
ренные для определенных видов продукции соответствующим тех-
ническим регламентом;
• обращаться для осуществления обязательной сертификации в любой
орган по сертификации, область аккредитации которого распростра-
няется на продукцию, которую заявитель намеревается сертифици-
ровать;
• обращаться в орган по аккредитации с жалобами на неправомерные
действия органов по сертификации и аккредитованных испытатель-
ных лабораторий (центров) в соответствии с законодательством РФ.
2. Заявитель обязан:
• обеспечивать соответствие продукции требованиям технических рег-
ламентов;
• выпускать в обращение продукцию, подлежащую обязательному
подтверждению соответствия, только после осуществления такого
подтверждения соответствия;
• указывать в сопроводительной технической документации и при
маркировке продукции сведения о сертификате соответствия или
декларации о соответствии;
• предъявлять в органы государственного контроля (надзора) за со-
блюдением требований технических регламентов, а также заинтере-
сованным лицам документы, свидетельствующие о подтверждении
390
Приложение 7
соответствия продукции требованиям технических регламентов (дек-
ларацию о соответствии, сертификат соответствия или их копии);
• приостанавливать или прекращать реализацию продукции, если срок
действия сертификата соответствия или декларации о соответствии
истек либо действие сертификата соответствия или декларации о со-
ответствии приостановлено либо прекращено;
• извещать орган по сертификации об изменениях, вносимых в техни-
ческую документацию или технологические процессы производства
сертифицированной продукции;
• приостанавливать производство продукции, которая прошла под-
тверждение соответствия и не соответствует требованиям техниче-
ских регламентов, на основании решений органов государственного
контроля (надзора) за соблюдением требований технических регла-
ментов.
Статья 29. Условия ввоза на территорию Российской
Федерации продукции, подлежащей обязательному
подтверждению соответствия
1. Для помещения продукции, подлежащей обязательному подтвер-
ждению соответствия, под таможенные режимы, предусматривающие
возможность отчуждения или использования этой продукции в соответ-
ствии с ее назначением на таможенной территории РФ, в таможенные ор-
ганы одновременно с таможенной декларацией заявителем либо уполно-
моченным заявителем лицом представляются декларация о соответствии
или сертификат соответствия либо документы об их признании в соот-
ветствии со статьей 30 настоящего Федерального закона. Представление
указанных документов не требуется в случае помещения продукции под
таможенный режим отказа в пользу государства.
Для целей таможенного оформления продукции списки продукции,
на которую распространяется действие абзаца первого настоящего пунк-
та, с указанием кодов Товарной номенклатуры внешнеэкономической
деятельности утверждаются Правительством РФ на основании техниче-
ских регламентов.
2. Продукция, определяемая в соответствии с положениями абзаца
второго и. 1 настоящей статьи, подлежащая обязательному подтвержде-
нию соответствия, ввозимая на таможенную территорию РФ и помещае-
мая под таможенные режимы, которыми не предусмотрена возможность
ее отчуждения, выпускается таможенными органами РФ на территорию
РФ без представления указанных в абзаце первом п. 1 настоящей статьи
документов о соответствии.
391
Основы информационной безопасности
3. Порядок ввоза на таможенную территорию РФ продукции, подле-
жащей обязательному подтверждению соответствия и определяемой
в соответствии с положениями абзаца второго и. 1 настоящей статьи
и с учетом положений и. 2 настоящей статьи, утверждается Правительст-
вом РФ.
Статья 30. Признание результатов подтверждения
соответствия
Полученные за пределами территории РФ документы о подтвержде-
нии соответствия, знаки соответствия, протоколы исследований (испыта-
ний) и измерений продукции могут быть признаны в соответствии с меж-
дународными договорами РФ.
Глава 5. Аккредитация органов по сертификации
и испытательных лабораторий (центров)
Статья 31. Аккредитация органов по сертификации
и испытательных лабораторий (центров)
1. Аккредитация органов по сертификации и испытательных лабора-
торий (центров) осуществляется в целях:
• подтверждения компетентности органов по сертификации и испыта-
тельных лабораторий (центров), выполняющих работы по подтвер-
ждению соответствия;
• обеспечения доверия изготовителей, продавцов и приобретателей
к деятельности органов по сертификации и аккредитованных испыта-
тельных лабораторий (центров);
• создания условий для признания результатов деятельности органов
по сертификации и аккредитованных испытательных лабораторий
(центров).
2. Аккредитация органов по сертификации и испытательных лабора-
торий (центров), выполняющих работы по подтверждению соответствия,
осуществляется на основе принципов:
• добровольности;
• открытости и доступности правил аккредитации;
• компетентности и независимости органов, осуществляющих аккре-
дитацию;
392
Приложение 7
• недопустимости ограничения конкуренции и создания препятствий
пользованию услугами органов по сертификации и аккредитованных
испытательных лабораторий (центров);
• обеспечения равных условий лицам, претендующим на получение
аккредитации;
• недопустимости совмещения полномочий на аккредитацию и под-
тверждение соответствия;
• недопустимости установления пределов действия документов об ак-
кредитации на отдельных территориях.
3. Аккредитация органов по сертификации и испытательных лабора-
торий (центров), выполняющих работы по подтверждению соответствия,
осуществляется в порядке, установленном Правительством РФ.
Глава 6. Государственный контроль (надзор)
за соблюдением требований технических регламентов
Статья 32. Органы государственного контроля (надзора)
за соблюдением требований технических регламентов
1. Государственный контроль (надзор) за соблюдением требований
технических регламентов осуществляется федеральными органами ис-
полнительной власти, органами исполнительной власти субъектов РФ,
подведомственными им государственными учреждениями, уполномочен-
ными на проведение государственного контроля (надзора) в соответствии
с законодательством РФ (далее - органы государственного контроля
(надзора).
2. Государственный контроль (надзор) за соблюдением требований
технических регламентов осуществляется должностными лицами органов
государственного контроля (надзора) в порядке, установленном законо-
дательством РФ.
Постановлением Правительства РФ от 17 июня 2004 г. No. 294ус-
тановлено, что Федеральное агентство по техническому регулированию
и метрологии осуществляет контроль и надзор за соблюдением обяза-
тельных требований государственных стандартов и технических рег-
ламентов до принятия Правительством РФ решения о передаче этих
функций другим федеральным органам исполнительной власти.
393
Основы информационной безопасности
Статья 33. Объекты государственного контроля (надзора)
за соблюдением требований технических регламентов
1. Государственный контроль (надзор) за соблюдением требований
технических регламентов осуществляется в отношении продукции, про-
цессов производства, эксплуатации, хранения, перевозки, реализации
и утилизации исключительно в части соблюдения требований соответст-
вующих технических регламентов.
2. В отношении продукции государственный контроль (надзор) за со-
блюдением требований технических регламентов осуществляется исклю-
чительно на стадии обращения продукции.
3. При осуществлении мероприятий по государственному контролю
(надзору) за соблюдением требований технических регламентов исполь-
зуются правила и методы исследований (испытаний) и измерений, уста-
новленные для соответствующих технических регламентов в порядке,
предусмотренном п. 11 ст. 7 настоящего Федерального закона.
Статья 34. Полномочия органов государственного
контроля (надзора)
1. На основании положений настоящего Федерального закона и тре-
бований технических регламентов органы государственного контроля
(надзора) вправе:
• требовать от изготовителя (продавца, лица, выполняющего функции
иностранного изготовителя) предъявления декларации о соответст-
вии или сертификата соответствия, подтверждающих соответствие
продукции требованиям технических регламентов, или их копий, ес-
ли применение таких документов предусмотрено соответствующим
техническим регламентом;
• осуществлять мероприятия по государственному контролю (надзору)
за соблюдением требований технических регламентов в порядке, ус-
тановленном законодательством РФ;
• выдавать предписания об устранении нарушений требований техни-
ческих регламентов в срок, установленный с учетом характера нару-
шения;
• принимать мотивированные решения о запрете передачи продукции,
а также о полном или частичном приостановлении процессов произ-
водства, эксплуатации, хранения, перевозки, реализации и утилиза-
ции, если иными мерами невозможно устранить нарушения требова-
ний технических регламентов;
394
Приложение 7
• приостановить или прекратить действие декларации о соответствии
или сертификата соответствия;
• привлекать изготовителя (исполнителя, продавца, лицо, выполняю-
щее функции иностранного изготовителя) к ответственности, преду-
смотренной законодательством РФ;
• принимать иные предусмотренные законодательством РФ меры в це-
лях недопущения причинения вреда.
2. Органы государственного контроля (надзора) обязаны:
• проводить в ходе мероприятий по государственному контролю (над-
зору) за соблюдением требований технических регламентов разъяс-
нительную работу по применению законодательства РФ о техниче-
ском регулировании, информировать о существующих технических
регламентах;
• соблюдать коммерческую тайну и иную охраняемую законом тайну;
• соблюдать порядок осуществления мероприятий по государственно-
му контролю (надзору) за соблюдением требований технических рег-
ламентов и оформления результатов таких мероприятий, установлен-
ный законодательством РФ;
• принимать на основании результатов мероприятий по государствен-
ному контролю (надзору) за соблюдением требований технических
регламентов меры по устранению последствий нарушений требова-
ний технических регламентов;
• направлять информацию о несоответствии продукции требованиям
технических регламентов в соответствии с положениями гл. 7 на-
стоящего Федерального закона;
• осуществлять другие предусмотренные законодательством РФ пол-
номочия.
Статья 35. Ответственность органов государственного
контроля (надзора) и их должностных лиц при
осуществлении государственного контроля (надзора)
за соблюдением требований технических регламентов
1. Органы государственного контроля (надзора) и их должностные
лица в случае ненадлежащего исполнения своих служебных обязанностей
при проведении мероприятий по государственному контролю (надзору)
за соблюдением требований технических регламентов и в случае совер-
395
Основы информационной безопасности
шения противоправных действий (бездействия) несут ответственность
в соответствии с законодательством РФ.
2. О мерах, принятых в отношении виновных в нарушении законода-
тельства РФ должностных лиц органов государственного контроля (над-
зора), органы государственного контроля (надзора) в течение месяца обя-
заны сообщить юридическому лицу и (или) индивидуальному предпри-
нимателю, права и законные интересы которых нарушены.
Глава 7. Информация о нарушении требований
технических регламентов и отзыв продукции
Статья 36. Ответственность за несоответствие
продукции, процессов производства, эксплуатации,
хранения, перевозки, реализации и утилизации
требованиям технических регламентов
1. За нарушение требований технических регламентов изготовитель
(исполнитель, продавец, лицо, выполняющее функции иностранного из-
готовителя) несет ответственность в соответствии с законодательством РФ.
2. В случае неисполнения предписаний и решений органа государст-
венного контроля (надзора) изготовитель (исполнитель, продавец, лицо,
выполняющее функции иностранного изготовителя) несет ответствен-
ность в соответствии с законодательством РФ.
3. В случае, если в результате несоответствия продукции требовани-
ям технических регламентов, нарушений требований технических регла-
ментов при осуществлении процессов производства, эксплуатации, хра-
нения, перевозки, реализации и утилизации причинен вред жизни или
здоровью граждан, имуществу физических или юридических лиц, госу-
дарственному или муниципальному имуществу, окружающей среде, жиз-
ни или здоровью животных и растений или возникла угроза причинения
такого вреда, изготовитель (исполнитель, продавец, лицо, выполняющее
функции иностранного изготовителя) обязан возместить причиненный
вред и принять меры в целях недопущения причинения вреда другим ли-
цам, их имуществу, окружающей среде в соответствии с законодательст-
вом РФ.
4. Обязанность возместить вред не может быть ограничена договором
или заявлением одной из сторон. Соглашения или заявления об ограни-
чении ответственности ничтожны.
396
Приложение 7
Статья 37. Информация о несоответствии продукции
требованиям технических регламентов
1. Изготовитель (исполнитель, продавец, лицо, выполняющее функ-
ции иностранного изготовителя), которому стало известно о несоответст-
вии выпущенной в обращение продукции требованиям технических рег-
ламентов, обязан сообщить об этом в орган государственного контроля
(надзора) в соответствии с его компетенцией в течение десяти дней с мо-
мента получения указанной информации.
Продавец (исполнитель, лицо, выполняющее функции иностранного
изготовителя), получивший указанную информацию, в течение десяти
дней обязан довести ее до изготовителя.
2. Лицо, которое не является изготовителем (исполнителем, продав-
цом, лицом, выполняющим функции иностранного изготовителя) и кото-
рому стало известно о несоответствии выпущенной в обращение продук-
ции требованиям технических регламентов, вправе направить информа-
цию о несоответствии продукции требованиям технических регламентов
в орган государственного контроля (надзора).
При получении такой информации орган государственного контроля
(надзора) в течение пяти дней обязан известить изготовителя (продавца,
лицо, выполняющее функции иностранного изготовителя) о ее поступлении.
Статья 38. Обязанности изготовителя (продавца, лица,
выполняющего функции иностранного изготовителя)
в случае получения информации о несоответствии
продукции требованиям технических регламентов
1. В течение десяти дней с момента получения информации о несоот-
ветствии продукции требованиям технических регламентов, если необхо-
димость установления более длительного срока не следует из существа
проводимых мероприятий, изготовитель (продавец, лицо, выполняющее
функции иностранного изготовителя) обязан провести проверку досто-
верности полученной информации. По требованию органа государствен-
ного контроля (надзора) изготовитель (продавец, лицо, выполняющее
функции иностранного изготовителя) обязан представить материалы ука-
занной проверки в орган государственного контроля (надзора).
В случае получения информации о несоответствии продукции требо-
ваниям технических регламентов изготовитель (продавец, лицо, выпол-
няющее функции иностранного изготовителя) обязан принять необходи-
мые меры для того, чтобы до завершения проверки, предусмотренной
абзацем первым настоящего пункта, возможный вред, связанный с обра-
щением данной продукции, не увеличился.
397
Основы информационной безопасности
2. При подтверждении достоверности информации о несоответствии
продукции требованиям технических регламентов изготовитель (прода-
вец, лицо, выполняющее функции иностранного изготовителя) в течение
десяти дней с момента подтверждения достоверности такой информации
обязан разработать программу и согласовать ее с органом государствен-
ного контроля (надзора) в соответствии с его компетенцией.
Программа должна включать в себя мероприятия по оповещению
приобретателей о наличии угрозы причинения вреда и способах его пре-
дотвращения, а также сроки реализации таких мероприятий. В случае,
если для предотвращения причинения вреда необходимо произвести до-
полнительные расходы, изготовитель (продавец, лицо, выполняющее
функции иностранного изготовителя) обязан осуществить все мероприя-
тия по предотвращению причинения вреда своими силами, а при невоз-
можности их осуществления объявить об отзыве продукции и возместить
убытки, причиненные приобретателям в связи с отзывом продукции.
Устранение недостатков, а также доставка продукции к месту устра-
нения недостатков и возврат ее приобретателям осуществляются изгото-
вителем (продавцом, лицом, выполняющим функции иностранного изго-
товителя) и за его счет.
3. В случае, если угроза причинения вреда не может быть устранена
путем проведения мероприятий, указанных в п. 2 настоящей статьи, изго-
товитель (продавец, лицо, выполняющее функции иностранного изгото-
вителя) обязан незамедлительно приостановить производство и реализа-
цию продукции, отозвать продукцию и возместить приобретателям убыт-
ки, возникшие в связи с отзывом продукции.
4. На весь период действия программы мероприятий по предотвра-
щению причинения вреда изготовитель (продавец, лицо, выполняющее
функции иностранного изготовителя) за свой счет обязан обеспечить
приобретателям возможность получения оперативной информации о не-
обходимых действиях.
Статья 39. Права органов государственного контроля
(надзора) в случае получения информации о несоответствии
продукции требованиям технических регламентов
1. Органы государственного контроля (надзора) в случае получения
информации о несоответствии продукции требованиям технических рег-
ламентов в возможно короткие сроки проводят проверку достоверности
полученной информации.
В ходе проведения проверки органы государственного контроля
(надзора) вправе:
398
Приложение 7
• требовать от изготовителя (продавца, лица, выполняющего функции
иностранного изготовителя) материалы проверки достоверности ин-
формации о несоответствии продукции требованиям технических
регламентов;
• запрашивать у изготовителя (исполнителя, продавца, лица, выпол-
няющего функции иностранного изготовителя) и иных лиц дополни-
тельную информацию о продукции, процессах производства, экс-
плуатации, хранения, перевозки, реализации и утилизации, в том
числе результаты исследований (испытаний) и измерений, проведен-
ных при осуществлении обязательного подтверждения соответствия;
• направлять запросы в другие федеральные органы исполнительной
власти;
• при необходимости привлекать специалистов для анализа получен-
ных материалов.
2. При признании достоверности информации о несоответствии про-
дукции требованиям технических регламентов орган государственного
контроля (надзора) в соответствии с его компетенцией в течение десяти
дней выдает предписание о разработке изготовителем (продавцом, ли-
цом, выполняющим функции иностранного изготовителя) программы
мероприятий по предотвращению причинения вреда, оказывает содейст-
вие в ее реализации и осуществляет контроль за ее выполнением.
Орган государственного контроля (надзора):
• способствует распространению информации о сроках и порядке про-
ведения мероприятий по предотвращению причинения вреда;
• запрашивает у изготовителя (продавца, лица, выполняющего функ-
ции иностранного изготовителя) и иных лиц документы, подтвер-
ждающие проведение мероприятий, указанных в программе меро-
приятий по предотвращению причинения вреда;
• проверяет соблюдение сроков, указанных в программе мероприятий
по предотвращению причинения вреда;
• принимает решение об обращении в суд с иском о принудительном
отзыве продукции.
Статья 40. Принудительный отзыв продукции
1. В случае невыполнения предписания, предусмотренного п. 2 ст. 39
настоящего Федерального закона, или невыполнения программы меро-
приятий по предотвращению причинения вреда орган государственного
контроля (надзора) в соответствии с его компетенцией, а также иные ли-
ца, которым стало известно о невыполнении изготовителем (продавцом,
399
Основы информационной безопасности
лицом, выполняющим функции иностранного изготовителя) программы
мероприятий по предотвращению причинения вреда, вправе обратиться
в суд с иском о принудительном отзыве продукции.
2. В случае удовлетворения иска о принудительном отзыве продук-
ции суд обязывает ответчика совершить определенные действия, связан-
ные с отзывом продукции, в установленный судом срок, а также довести
решение суда не позднее одного месяца со дня его вступления в закон-
ную силу до сведения приобретателей через средства массовой информа-
ции или иным способом.
В случае, если ответчик не исполнит решение суда в установленный
срок, истец вправе совершить эти действия за счет ответчика с взыскани-
ем с него необходимых расходов.
3. За нарушение требований настоящего Федерального закона об от-
зыве продукции могут быть применены меры уголовного и администра-
тивного воздействия в соответствии с законодательством РФ.
Статья 41. Ответственность за нарушение правил
выполнения работ по сертификации
Орган по сертификации и должностное лицо органа по сертифика-
ции, нарушившие правила выполнения работ по сертификации, если
такое нарушение повлекло за собой выпуск в обращение продукции, не
соответствующей требованиям технических регламентов, несут ответст-
венность в соответствии с законодательством РФ и договором о проведе-
нии работ по сертификации.
Статья 42. Ответственность аккредитованной
испытательной лаборатории (центра)
Аккредитованная испытательная лаборатория (центр), эксперты в со-
ответствии с законодательством РФ и договором несут ответственность
за недостоверность или необъективность результатов исследований (ис-
пытаний) и измерений.
Глава 8. Информация о технических
регламентах и документах по стандартизации
Статья 43. Информация о документах по стандартизации
1. Национальные стандарты и общероссийские классификаторы,
а также информация об их разработке должны быть доступны заинтере-
сованным лицам.
400
Приложение 7
2. Официальное опубликование в установленном порядке националь-
ных стандартов и общероссийских классификаторов осуществляется на-
циональным органом по стандартизации. Порядок опубликования нацио-
нальных стандартов и общероссийских классификаторов определяется
Правительством РФ.
Статья 44. Федеральный информационный фонд
технических регламентов и стандартов
1. Технические регламенты, документы национальной системы стан-
дартизации, международные стандарты, правила стандартизации, нормы
стандартизации и рекомендации по стандартизации, национальные стан-
дарты других государств и информация о международных договорах
в области стандартизации и подтверждения соответствия и о правилах их
применения составляют Федеральный информационный фонд техниче-
ских регламентов и стандартов.
Федеральный информационный фонд технических регламентов
и стандартов является государственным информационным ресурсом.
Порядок создания и ведения Федерального информационного фонда
технических регламентов и стандартов, а также правила пользования
этим фондом устанавливаются Правительством РФ.
2. В РФ в порядке и на условиях, которые установлены Правительст-
вом РФ, создается и функционирует единая информационная система,
предназначенная для обеспечения заинтересованных лиц информацией
о документах, входящих в состав Федерального информационного фонда
технических регламентов и стандартов.
Заинтересованным лицам обеспечивается свободный доступ к созда-
ваемым информационным ресурсам, за исключением случаев, если в ин-
тересах сохранения государственной, служебной или коммерческой тай-
ны такой доступ должен быть ограничен.
Глава 9. Финансирование в области
технического регулирования
Статья 45. Порядок финансирования за счет средств
федерального бюджета расходов в области технического
регулирования
1. За счет средств федерального бюджета могут финансироваться
расходы на:
• проведение на федеральном уровне государственного контроля (над-
зора) за соблюдением требований технических регламентов;
401
Основы информационной безопасности
• создание и ведение Федерального информационного фонда техниче-
ских регламентов и стандартов;
• реализацию программы разработки технических регламентов и про-
граммы разработки национальных стандартов, предусмотренных
п. 12 ст. 7 и п. 1 ст. 16 настоящего Федерального закона, а также про-
ведение экспертизы отдельных проектов технических регламентов и
национальных стандартов;
• разработку общероссийских классификаторов;
• уплату взносов международным организациям по стандартизации.
2. Порядок финансирования расходов, указанных в п. 1 настоящей
статьи, определяется Правительством РФ.
Глава 10. Заключительные и переходные положения
Статья 46. Переходные положения
1. Со дня вступления в силу настоящего Федерального закона впредь
до вступления в силу соответствующих технических регламентов требо-
вания к продукции, процессам производства, эксплуатации, хранения,
перевозки, реализации и утилизации, установленные нормативными пра-
вовыми актами РФ и нормативными документами федеральных органов
исполнительной власти, подлежат обязательному исполнению только
в части, соответствующей целям:
• защиты жизни или здоровья граждан, имущества физических или
юридических лиц, государственного или муниципального имущества;
• охраны окружающей среды, жизни или здоровья животных и растений;
• предупреждения действий, вводящих в заблуждение приобретателей.
2. Со дня вступления в силу настоящего Федерального закона обяза-
тельное подтверждение соответствия осуществляется только в отноше-
нии продукции, выпущенной в обращение на территории РФ.
3. Правительством РФ до вступления в силу соответствующих техни-
ческих регламентов определяется и ежегодно дополняется перечень от-
дельных видов продукции, в отношении которых обязательная сертифи-
кация заменяется декларированием соответствия, осуществляемым в по-
рядке, установленном настоящим Федеральным законом.
4. До вступления в силу соответствующих технических регламентов
схема декларирования соответствия на основе собственных доказательств
402
Приложение 7
допускается для применения только изготовителями или только лицами,
выполняющими функции иностранного изготовителя.
5. До принятия соответствующих технических регламентов техниче-
ское регулирование в области применения ветеринарно-санитарных
и фитосанитарных мер осуществляется в соответствии с Федеральным
законом «О карантине растений» и Законом РФ «О ветеринарии».
6. До принятия общего технического регламента по ядерной и радиа-
ционной безопасности техническое регулирование в области ядерной
и радиационной безопасности осуществляется в соответствии с Феде-
ральным законом «Об использовании атомной энергии» и Федеральным
законом «О радиационной безопасности населения».
7. Технические регламенты должны быть приняты в течение семи лет
со дня вступления в силу настоящего Федерального закона.
Обязательные требования к продукции, процессам производства,
эксплуатации, хранения, перевозки, реализации и утилизации, в отноше-
нии которых технические регламенты в указанный срок не были приня-
ты, прекращают действие по его истечении.
8. Документы об аккредитации, выданные в установленном порядке
органам по сертификации и аккредитованным испытательным лаборато-
риям (центрам) до вступления в силу настоящего Федерального закона,
а также документы, подтверждающие соответствие (сертификат соответ-
ствия, декларация о соответствии) и принятые до вступления в силу на-
стоящего Федерального закона, считаются действительными до оконча-
ния срока, установленного в них.
Статья 47. Приведение нормативных правовых актов
в соответствие с настоящим Федеральным законом
Со дня вступления в силу настоящего Федерального закона признать
утратившими силу:
• Закон РФ от 10 июня 1993 г. № 5151-1 «О сертификации продукции и
услуг» (Ведомости Съезда народных депутатов и Верховного Совета
РФ, 1993, №26, ст. 966);
• постановление Верховного Совета РФ от 10 июня 1993 г. №5153-1
«О введении в действие Закона РФ «О сертификации продукции
и услуг» (Ведомости Съезда народных депутатов и Верховного Сове-
та РФ, 1993, №26, ст. 967);
• Закон РФ от 10 июня 1993 г. № 5154-1 «О стандартизации» (Ведомо-
сти Съезда народных депутатов и Верховного Совета РФ, 1993, № 25,
ст. 917);
403
Основы информационной безопасности
• постановление Верховного Совета РФ от 10 июня 1993 г. №5156-1
«О введении в действие Закона РФ «О стандартизации» (Ведомости
Съезда народных депутатов и Верховного Совета РФ, 1993, №25,
ст. 918);
• пункты 12 и 13 статьи 1 Федерального закона от 27 декабря 1995 г.
№211-ФЗ «О внесении изменений и дополнений в отдельные зако-
нодательные акты РФ в связи с принятием Федерального закона
«О пожарной безопасности» (Собрание законодательства РФ, 1996,
№ 1, ст. 4);
• пункт 2 статьи 1 Федерального закона от 2 марта 1998 г. № ЗО-ФЗ
«О внесении изменений и дополнений в отдельные законодательные
акты РФ в связи с принятием Федерального закона «О рекламе» (Со-
брание законодательства РФ, 1998, № 10, ст. 1143);
• Федеральный закон от 31 июля 1998 г. № 154-ФЗ «О внесении изме-
нений и дополнений в Закон РФ «О сертификации продукции и ус-
луг» (Собрание законодательства РФ, 1998, № 31, ст. 3832);
• статью 2 Федерального закона от 10 июля 2002 г. № 87-ФЗ «О внесе-
нии изменения в статью 6 Федерального закона «Об основах соци-
ального обслуживания населения в РФ» и дополнения в статью 2 За-
кона РФ «О стандартизации» (Собрание законодательства РФ, 2002,
№28, ст. 2791);
• статьи 13 и 14 Федерального закона от 25 июля 2002 г. № 116-ФЗ
«О внесении изменений и дополнений в некоторые законодательные
акты РФ в связи с совершенствованием государственного управления
в области пожарной безопасности» (Собрание законодательства РФ,
2002, № 30, ст. 3033).
Статья 48. Вступление в силу настоящего Федерального
закона
Настоящий Федеральный закон вступает в силу по истечении шести
месяцев со дня его официального опубликования.
Президент РФ
В. Путин
Москва, Кремль
27декабря 2002 г. № 184-ФЗ
404
Приложение 8
ФЕДЕРАЛЬНЫЙ ЗАКОН
«О ЛИЦЕНЗИРОВАНИИ ОТДЕЛЬНЫХ
ВИДОВ ДЕЯТЕЛЬНОСТИ»
от 8 августа 2001 г. № 128-ФЗ
(с изменениями от 13, 21 марта,
9 декабря 2002 г., 10 января, 27 февраля,
11, 26 марта, 23 декабря 2003 г., 2 ноября 2004 г.)
Принят Государственной Думой 13 июля 2001 г.
Одобрен Советом Федерации 20 июля 2001 г.
Статья 1. Сфера применения настоящего Федерального
закона
1. Настоящий Федеральный закон регулирует отношения, возникаю-
щие между федеральными органами исполнительной власти, органами
исполнительной власти субъектов РФ, юридическими лицами и индиви-
дуальными предпринимателями в связи с осуществлением лицензирова-
ния отдельных видов деятельности в соответствии с перечнем, преду-
смотренным и. 1 ст. 17 настоящего Федерального закона.
2. Действие настоящего Федерального закона не распространяется
на следующие виды деятельности:
• деятельность кредитных организаций;
• деятельность, связанная с защитой государственной тайны;
• деятельность в области производства и оборота этилового спирта,
алкогольной и спиртосодержащей продукции;
• деятельность в области связи;
• биржевая деятельность;
• деятельность в области таможенного дела;
• нотариальная деятельность;
• страховая деятельность, за исключением пенсионного страхования,
осуществляемого негосударственными пенсионными фондами;
• деятельность профессиональных участников рынка ценных бумаг;
405
Основы информационной безопасности
• осуществление внешнеэкономических операций;
• осуществление международных автомобильных перевозок грузов
и пассажиров;
• приобретение оружия и патронов к нему;
• использование результатов интеллектуальной деятельности;
• использование орбитально-частотных ресурсов и радиочастот для
осуществления телевизионного вещания и радиовещания (в том чис-
ле вещания дополнительной информации);
• использование природных ресурсов, в том числе недр, лесного фон-
да, объектов растительного и животного мира;
• деятельность, работы и услуги в области использования атомной
энергии;
• образовательная деятельность.
Статья 2. Основные понятия
В целях настоящего Федерального закона применяются следующие
основные понятия:
• лицензия - специальное разрешение на осуществление конкретного
вида деятельности при обязательном соблюдении лицензионных тре-
бований и условий, выданное лицензирующим органом юридическо-
му лицу или индивидуальному предпринимателю;
• лицензируемый вид деятельности - вид деятельности, на осущест-
вление которого на территории РФ требуется получение лицензии
в соответствии с настоящим Федеральным законом;
• лицензирование - мероприятия, связанные с предоставлением ли-
цензий, переоформлением документов, подтверждающих наличие
лицензий, приостановлением и возобновлением действия лицензий,
аннулированием лицензий и контролем лицензирующих органов
за соблюдением лицензиатами при осуществлении лицензируемых
видов деятельности соответствующих лицензионных требований
и условий;
• лицензионные требования и условия - совокупность установлен-
ных положениями о лицензировании конкретных видов деятельности
требований и условий, выполнение которых лицензиатом обязатель-
но при осуществлении лицензируемого вида деятельности;
406
Приложение 8
• лицензирующие органы - федеральные органы исполнительной
власти, органы исполнительной власти субъектов РФ, осуществляю-
щие лицензирование в соответствии с настоящим Федеральным за-
коном;
• лицензиат - юридическое лицо или индивидуальный предпринима-
тель, имеющие лицензию на осуществление конкретного вида дея-
тельности;
• соискатель лицензии - юридическое лицо или индивидуальный
предприниматель, обратившиеся в лицензирующий орган с заявлени-
ем о предоставлении лицензии на осуществление конкретного вида
деятельности;
• реестр лицензий - совокупность данных о предоставлении лицен-
зий, переоформлении документов, подтверждающих наличие лицен-
зий, приостановлении и возобновлении действия лицензий и об ан-
нулировании лицензий.
Статья 3. Основные принципы осуществления
лицензирования
Основными принципами осуществления лицензирования являются:
• обеспечение единства экономического пространства на территории РФ;
• установление единого перечня лицензируемых видов деятельности;
• установление единого порядка лицензирования на территории РФ;
• установление лицензионных требований и условий положениями
о лицензировании конкретных видов деятельности;
• гласность и открытость лицензирования;
• соблюдение законности при осуществлении лицензирования.
Статья 4. Критерии определения лицензируемых видов
деятельности
К лицензируемым видам деятельности относятся виды деятельности,
осуществление которых может повлечь за собой нанесение ущерба пра-
вам, законным интересам, здоровью граждан, обороне и безопасности го-
сударства, культурному наследию народов РФ и регулирование которых
не может осуществляться иными методами, кроме как лицензированием.
407
Основы информационной безопасности
Статья 5. Определение полномочий Правительства
Российской Федерации при осуществлении
лицензирования
В целях обеспечения единства экономического пространства на тер-
ритории РФ Правительство РФ в соответствии с определенными Прези-
дентом РФ основными направлениями внутренней политики государства:
• утверждает положения о лицензировании конкретных видов деятель-
ности;
• определяет федеральные органы исполнительной власти, осуществ-
ляющие лицензирование конкретных видов деятельности;
• устанавливает виды деятельности, лицензирование которых осуще-
ствляется органами исполнительной власти субъектов РФ.
Статья 6. Полномочия лицензирующих органов
1. Лицензирующие органы осуществляют следующие полномочия:
• предоставление лицензий;
• переоформление документов, подтверждающих наличие лицензий;
• приостановление действия лицензий;
• возобновление действия лицензий;
• аннулирование лицензий (в случае, предусмотренном п. 3 ст. 13 на-
стоящего Федерального закона);
• ведение реестра лицензий;
• контроль за соблюдением лицензиатами при осуществлении лицен-
зируемых видов деятельности соответствующих лицензионных тре-
бований и условий.
Порядок осуществления полномочий лицензирующих органов уста-
навливается положениями о лицензировании конкретных видов деятель-
ности.
2. Федеральные органы исполнительной власти по соглашению с ор-
ганами исполнительной власти субъектов РФ могут передавать им осу-
ществление своих полномочий, предусмотренных п. 1 настоящей статьи.
Статья 7. Действие лицензии
1. На каждый вид деятельности, указанный в п. 1 ст. 17 настоящего
Федерального закона, предоставляется лицензия.
408
Приложение 8
Вид деятельности, на осуществление которого предоставлена лицен-
зия, может выполняться только получившим лицензию юридическим ли-
цом или индивидуальным предпринимателем.
2. Деятельность, на осуществление которой лицензия предоставлена
федеральным органом исполнительной власти или органом исполнитель-
ной власти субъекта РФ, может осуществляться на всей территории РФ.
Деятельность, на осуществление которой лицензия предоставлена лицен-
зирующим органом субъекта РФ, может осуществляться на территориях
иных субъектов РФ при условии уведомления лицензиатом лицензирую-
щих органов соответствующих субъектов РФ в порядке, установленном
Правительством РФ.
Статья 8. Срок действия лицензии
Срок действия лицензии не может быть менее чем пять лет. Срок
действия лицензии по его окончании может быть продлен по заявлению
лицензиата.
Продление срока действия лицензии осуществляется в порядке пере-
оформления документа, подтверждающего наличие лицензии.
Положениями о лицензировании конкретных видов деятельности
может быть предусмотрено бессрочное действие лицензии.
Статья 9. Принятие решения о предоставлении лицензии
1. Для получения лицензии соискатель лицензии представляет в со-
ответствующий лицензирующий орган следующие документы:
• заявление о предоставлении лицензии с указанием наименования
и организационно-правовой формы юридического лица, места его
нахождения - для юридического лица; фамилии, имени, отчества,
места жительства, данных документа, удостоверяющего личность, -
для индивидуального предпринимателя; лицензируемого вида дея-
тельности, который юридическое лицо или индивидуальный пред-
приниматель намерены осуществлять;
• копии учредительных документов и копия документа о государст-
венной регистрации соискателя лицензии в качестве юридического
лица (с предъявлением оригиналов в случае, если копии не заверены
нотариусом) - для юридического лица;
• копия свидетельства о государственной регистрации гражданина
в качестве индивидуального предпринимателя (с предъявлением ори-
Основы информационной безопасности
гинала в случае, если копия не заверена нотариусом) - для индивиду-
ального предпринимателя;
• копия свидетельства о постановке соискателя лицензии на учет в на-
логовом органе (с предъявлением оригинала в случае, если копия не
заверена нотариусом);
• документ, подтверждающий уплату лицензионного сбора за рассмот-
рение лицензирующим органом заявления о предоставлении лицен-
зии;
• сведения о квалификации работников соискателя лицензии.
Кроме указанных документов в положениях о лицензировании кон-
кретных видов деятельности может быть предусмотрено представление
иных документов, наличие которых при осуществлении конкретного ви-
да деятельности установлено соответствующими федеральными закона-
ми, а также иными нормативными правовыми актами, принятие которых
предусмотрено соответствующими федеральными законами.
Не допускается требовать от соискателя лицензии представления до-
кументов, не предусмотренных настоящим Федеральным законом
и иными федеральными законами.
Все документы, представленные в соответствующий лицензирующий
орган для предоставления лицензии, принимаются по описи, копия кото-
рой направляется (вручается) соискателю лицензии с отметкой о дате
приема документов указанным органом.
За предоставление недостоверных или искаженных сведений соискатель
лицензии несет ответственность в соответствии с законодательством РФ.
2. Лицензирующий орган принимает решение о предоставлении или
об отказе в предоставлении лицензии в срок, не превышающий шестиде-
сяти дней со дня поступления заявления о предоставлении лицензии со
всеми необходимыми документами. Соответствующее решение оформ-
ляется приказом лицензирующего органа.
Более короткие сроки принятия решения о предоставлении или
об отказе в предоставлении лицензии могут устанавливаться положения-
ми о лицензировании конкретных видов деятельности.
Лицензирующий орган обязан в указанный срок уведомить соискате-
ля лицензии о принятии решения о предоставлении или об отказе в пре-
доставлении лицензии.
Уведомление о предоставлении лицензии направляется (вручается)
соискателю лицензии в письменной форме с указанием реквизитов бан-
ковского счета и срока уплаты лицензионного сбора за предоставление
лицензии.
Приложение 8
Уведомление об отказе в предоставлении лицензии направляется
(вручается) соискателю лицензии в письменной форме с указанием при-
чин отказа.
В течение трех дней после представления соискателем лицензии до-
кумента, подтверждающего уплату лицензионного сбора за предоставле-
ние лицензии, лицензирующий орган бесплатно выдает лицензиату до-
кумент, подтверждающий наличие лицензии.
Лицензиат имеет право на получение дубликатов указанного доку-
мента. Дубликаты указанного документа предоставляются лицензиату за
плату, равную плате, установленной за предоставление информации, со-
держащейся в реестре лицензий.
3. Основанием отказа в предоставлении лицензии является:
• наличие в документах, представленных соискателем лицензии, не-
достоверной или искаженной информации;
• несоответствие соискателя лицензии, принадлежащих ему или ис-
пользуемых им объектов лицензионным требованиям и условиям.
Не допускается отказ в выдаче лицензии на основании величины
объема продукции (работ, услуг), производимой или планируемой для
производства соискателем лицензии.
4. Соискатель лицензии имеет право обжаловать в порядке, установ-
ленном законодательством РФ, отказ лицензирующего органа в предос-
тавлении лицензии или его бездействие.
Статья 10. Содержание подтверждающего наличие
лицензии документа и решения о предоставлении лицензии
В решении о предоставлении лицензии и в подтверждающем наличие
лицензии документе указываются:
• наименование лицензирующего органа;
• наименование и организационно-правовая форма юридического ли-
ца, место его нахождения, основной государственный регистрацион-
ный номер юридического лица - для юридического лица;
• фамилия, имя, отчество, место жительства, данные документа, удо-
стоверяющего личность, основной государственный регистрацион-
ный номер записи о государственной регистрации индивидуального
предпринимателя - для индивидуального предпринимателя;
• лицензируемый вид деятельности;
.«1
Основы информационной безопасности
• срок действия лицензии;
• идентификационный номер налогоплательщика;
• номер лицензии;
• дата принятия решения о предоставлении лицензии.
Статья 11. Переоформление документа, подтверждающего
наличие лицензии
1. В случае преобразования юридического лица, изменения его на-
именования или места его нахождения, либо изменения имени или места
жительства индивидуального предпринимателя, либо утраты документа,
подтверждающего наличие лицензии, а также в иных предусмотренных
федеральными законами случаях, лицензиат - юридическое лицо (его
правопреемник) или индивидуальный предприниматель - обязан не
позднее чем через пятнадцать дней подать заявление о переоформлении
документа, подтверждающего наличие лицензии, с приложением доку-
ментов, подтверждающих указанные изменения или утрату документа,
подтверждающего наличие лицензии.
2. При переоформлении документа, подтверждающего наличие ли-
цензии, лицензирующий орган вносит соответствующие изменения в ре-
естр лицензий. Переоформление документа, подтверждающего наличие
лицензии, осуществляется в течение десяти дней со дня получения ли-
цензирующим органом соответствующего заявления.
3. За переоформление документа, подтверждающего наличие лицен-
зии, взимается плата в размере 100 рублей, которая зачисляется в соот-
ветствующий бюджет.
Статья 12. Осуществление контроля
1. Контроль за соблюдением лицензиатом лицензионных требований
и условий, определенных положением о лицензировании конкретного
вида деятельности, осуществляется лицензирующими органами в преде-
лах их компетенции.
2. Лицензирующие органы имеют право:
• проводить проверки деятельности лицензиата на предмет ее соответ-
ствия лицензионным требованиям и условиям;
• запрашивать у лицензиата необходимые объяснения и документы
при проведении проверок;
412
Приложение 8
• составлять на основании результатов проверок акты (протоколы)
с указанием конкретных нарушений;
• выносить решения, обязывающие лицензиата устранить выявленные
нарушения, устанавливать сроки устранения таких нарушений;
• выносить предупреждение лицензиату.
Статья 13. Приостановление действия лицензии
и аннулирование лицензии
1. Лицензирующие органы вправе приостанавливать действие лицен-
зии в случае выявления лицензирующими органами неоднократных на-
рушений или грубого нарушения лицензиатом лицензионных требовании
и условии.
Лицензирующий орган обязан установить срок устранения лицензиа-
том нарушений, повлекших за собой приостановление действия лицен-
зии. Указанный срок не может превышать шесть месяцев. В случае, если
в установленный срок лицензиат не устранил указанные нарушения, ли-
цензирующий орган обязан обратиться в суд с заявлением об аннулиро-
вании лицензии.
Лицензиат обязан уведомить в письменной форме лицензирующий
орган об устранении им нарушений, повлекших за собой приостановле-
ние действия лицензии. Лицензирующий орган, приостановивший дейст-
вие лицензии, принимает решение о возобновлении ее действия и сооб-
щает об этом в письменной форме лицензиату в течение трех дней после
получения соответствующего уведомления и проверки устранения ли-
цензиатом нарушений, повлекших за собой приостановление действия
лицензии.
Плата за возобновление действия лицензии не взимается. Срок дей-
ствия лицензии на время приостановления ее действия не продлевается.
2. Лицензия теряет юридическую силу в случае ликвидации юриди-
ческого лица или прекращения его деятельности в результате реоргани-
зации, за исключением его преобразования, либо прекращения действия
свидетельства о государственной регистрации гражданина в качестве ин-
дивидуального предпринимателя.
3. Лицензирующие органы могут аннулировать лицензию без обра-
щения в суд в случае неуплаты лицензиатом в течение трех месяцев ли-
цензионного сбора за предоставление лицензии.
4. Лицензия может быть аннулирована решением суда на основании
заявления лицензирующего органа в случае, если нарушение лицензиа-
413
Основы информационной безопасности
том лицензионных требований и условий повлекло за собой нанесение
ущерба правам, законным интересам, здоровью граждан, обороне и безо-
пасности государства, культурному наследию народов РФ и (или) в слу-
чае, предусмотренном абзацем вторым п. 1 настоящей статьи. Одновре-
менно с подачей заявления в суд лицензирующий орган вправе приоста-
новить действие указанной лицензии на период до вступления в силу
решения суда.
5. Решение о приостановлении действия лицензии, об аннулировании
лицензии или о направлении заявления об аннулировании лицензии в суд
доводится лицензирующим органом до лицензиата в письменной форме
с мотивированным обоснованием такого решения не позднее чем через
три дня после его принятия.
6. Решение о приостановлении действия лицензии и об аннулирова-
нии лицензии может быть обжаловано в порядке, установленном законо-
дательством РФ.
7. Лицензирующий орган не вправе проводить проверки по предмету
ведения иных органов государственной власти и органов местного само-
управления.
Статья 14. Ведение реестров лицензий
1. Лицензирующие органы ведут реестры лицензий на виды деятель-
ности, лицензирование которых они осуществляют.
В реестре лицензий помимо сведений, указанных в ст. 10 настоящего
Федерального закона, должны быть указаны:
• сведения о регистрации лицензии в реестре лицензий;
• основания и даты приостановления и возобновления действия лицен-
зии;
• основание и дата аннулирования лицензии;
• иные сведения, определенные положениями о лицензировании кон-
кретных видов деятельности.
2. Информация, содержащаяся в реестре лицензий, является откры-
той для ознакомления с ней физических и юридических лиц.
Информация, содержащаяся в реестре лицензий, в виде выписок
о конкретных лицензиатах предоставляется физическим и юридическим
лицам за плату. Размер платы за предоставление указанной информации
составляет 10 рублей.
414
Приложение 8
Плата за предоставление информации, содержащейся в реестре ли-
цензий, зачисляется в соответствующий бюджет.
Информация из реестра лицензий органам государственной власти
и органам местного самоуправления предоставляется бесплатно.
Срок предоставления информации из реестра лицензий не может
превышать три дня со дня поступления соответствующего заявления.
Статья 15. Лицензионные сборы
За рассмотрение лицензирующим органом заявления о предоставле-
нии лицензии взимается лицензионный сбор в размере 300 рублей.
За предоставление лицензии взимается лицензионный сбор в размере
1000 рублей.
Суммы указанных в настоящей статье лицензионных сборов зачис-
ляются в соответствующие бюджеты.
Статья 16. Финансирование лицензирования
Финансирование лицензирования осуществляется в пределах средств,
выделяемых из соответствующих бюджетов на содержание лицензирую-
щих органов.
Статья 17. Перечень видов деятельности, на осуществление
которых требуются лицензии
1. В соответствии с настоящим Федеральным законом лицензирова-
нию подлежат следующие виды деятельности:
• разработка авиационной техники, в том числе авиационной техники
двойного назначения;
• производство авиационной техники, в том числе авиационной техни-
ки двойного назначения;
• ремонт авиационной техники, в том числе авиационной техники
двойного назначения;
• испытание авиационной техники, в том числе авиационной техники
двойного назначения;
• деятельность по распространению шифровальных (криптографиче-
ских) средств;
• деятельность по техническому обслуживанию шифровальных (крип-
тографических) средств;
415
Основы информационной безопасности
• предоставление услуг в области шифрования информации;
• разработка, производство шифровальных (криптографических) средств,
защищенных с использованием шифровальных (криптографических)
средств информационных систем, телекоммуникационных систем;
1 / деятельность по выдаче сертификатов ключей электронных цифро-
вых подписей, регистрации владельцев электронных цифровых под-
писей, оказанию услуг, связанных с использованием электронных
цифровых подписей, и подтверждению подлинности электронных
цифровых подписей;
• деятельность по выявлению электронных устройств, предназначен-
ных для негласного получения информации, в помещениях и техни-
ческих средствах (за исключением случая, если указанная деятель-
ность осуществляется для обеспечения собственных нужд юридиче-
ского лица или индивидуального предпринимателя);
• деятельность по разработке и (или) производству средств защитьг
конфиденциальной информации;
• деятельность по технической защите конфиденциальной информации;
• разработка, производство, реализация и приобретение в целях про-
дажи специальных технических средств, предназначенных для не-
гласного получения информации, индивидуальными предпринимате-
лями и юридическими лицами, осуществляющими предприниматель-
скую деятельность;
• деятельность по изготовлению защищенной от подделок полиграфи-
ческой продукции, в том числе бланков ценных бумаг, а также тор-
говля указанной продукцией;
• разработка вооружения и военной техники;
• производство вооружения и военной техники;
• ремонт вооружения и военной техники;
• утилизация вооружения и военной техники;
• торговля вооружением и военной техникой;
• производство оружия и основных частей огнестрельного оружия;
• производство патронов к оружию и составных частей патронов;
• торговля оружием и основными частями огнестрельного оружия;
• торговля патронами к оружию;
416
Приложение 8
• экспонирование оружия, основных частей огнестрельного оружия,
патронов к оружию;
• коллекционирование оружия, основных частей огнестрельного ору-
жия, патронов к оружию;
• разработка и производство боеприпасов;
• утилизация боеприпасов;
• выполнение работ и оказание услуг по хранению, перевозкам и унич-
тожению химического оружия;
• эксплуатация взрывоопасных производственных объектов;
• эксплуатация пожароопасных производственных объектов;
• эксплуатация химически опасных производственных объектов;
• эксплуатация магистрального трубопроводного транспорта;
• эксплуатация нефтегазодобывающих производств;
• переработка нефти, газа и продуктов их переработки;
• транспортировка по магистральным трубопроводам нефти, газа и
продуктов их переработки;
• хранение нефти, газа и продуктов их переработки;
• деятельность по проведению экспертизы промышленной безопасности;
• производство взрывчатых материалов промышленного назначения;
• хранение взрывчатых материалов промышленного назначения;
• применение взрывчатых материалов промышленного назначения;
• деятельность по распространению взрывчатых материалов промыш-
ленного назначения;
• производство пиротехнических изделий;
• деятельность по распространению пиротехнических изделий IV и V
класса в соответствии с государственным стандартом;
• деятельность по предупреждению и тушению пожаров;
• производство работ по монтажу, ремонту и обслуживанию средств
обеспечения пожарной безопасности зданий и сооружений;
• деятельность по эксплуатации электрических сетей (за исключением
случая, если указанная деятельность осуществляется для обеспече-
ния собственных нужд юридического лица или индивидуального
предпринимателя);
417
Основы информационной безопасности
• деятельность по эксплуатации газовых сетей;
• деятельность по эксплуатации тепловых сетей (за исключением слу-
чая, если указанная деятельность осуществляется для обеспечения
собственных нужд юридического лица или индивидуального пред-
принимателя);
• проектирование зданий и сооружений I и II уровней ответственности
в соответствии с государственным стандартом;
• строительство зданий и сооружений I и II уровней ответственности
в соответствии с государственным стандартом;
• инженерные изыскания для строительства зданий и сооружений I и II
уровней ответственности в соответствии с государственным стандар-
том;
• производство маркшейдерских работ;
• деятельность по реставрации объектов культурного наследия (памят-
ников истории и культуры);
• геодезическая деятельность;
• картографическая деятельность;
• выполнение работ по активному воздействию на гидрометеорологи-
ческие процессы и явления;
• выполнение работ по активному воздействию на геофизические про-
цессы и явления;
• деятельность в области гидрометеорологии и смежных с ней областях;
• фармацевтическая деятельность;
• производство лекарственных средств;
• производство медицинской техники;
• деятельность по распространению лекарственных средств и изделий
медицинского назначения;
• техническое обслуживание медицинской техники (за исключением
случая, если указанная деятельность осуществляется для обеспече-
ния собственных нужд юридического лица или индивидуального
предпринимателя);
• деятельность по оказанию протезно-ортопедической помощи;
• культивирование растений, используемых для производства нарко-
тических средств и психотропных веществ;
418
Приложение 8
деятельность, связанная с оборотом наркотических средств и психо-
тропных веществ (разработка, производство, изготовление, перера-
ботка, хранение, перевозки, отпуск, реализация, распределение, при-
обретение, использование, уничтожение), внесенных в Список II
в соответствии с Федеральным законом «О наркотических средствах
и психотропных веществах»;
деятельность, связанная с оборотом психотропных веществ (разра-
ботка, производство, изготовление, переработка, хранение, перевоз-
ки, отпуск, реализация, распределение, приобретение, использова-
ние, уничтожение), внесенных в Список III в соответствии с Феде-
ральным законом «О наркотических средствах и психотропных
веществах»;
деятельность, связанная с использованием возбудителей инфекцион-
ных заболеваний;
производство дезинфекционных, дезинсекционных и дератизацион-
ных средств;
перевозки морским транспортом пассажиров;
перевозки морским транспортом грузов;
перевозки внутренним водным транспортом пассажиров;
перевозки внутренним водным транспортом грузов;
перевозки воздушным транспортом пассажиров;
перевозки воздушным транспортом грузов;
перевозки пассажиров автомобильным транспортом, оборудованным
для перевозок более 8 человек (за исключением случая, если указан-
ная деятельность осуществляется для обеспечения собственных нужд
юридического лица или индивидуального предпринимателя);
перевозки пассажиров на коммерческой основе легковым автомо-
бильным транспортом;
перевозки грузов автомобильным транспортом грузоподъемностью
свыше 3,5 тонны (за исключением случая, если указанная деятель-
ность осуществляется для обеспечения собственных нужд юридиче-
ского лица или индивидуального предпринимателя);
сюрвейерское обслуживание морских судов в морских портах;
погрузочно-разгрузочная деятельность на внутреннем водном транс-
порте;
погрузочно-разгрузочная деятельность в морских портах;
419
Основы информационной безопасности
• погрузочно-разгрузочная деятельность на железнодорожном транс-
порте;
• деятельность по осуществлению буксировок морским транспортом
(за исключением случая, если указанная деятельность осуществляет-
ся для обеспечения собственных нужд юридического лица или инди-
видуального предпринимателя);
деятельность по техническому обслуживанию воздушного движения;
деятельность по техническому обслуживанию воздушных судов;
деятельность по ремонту воздушных судов;
деятельность по применению авиации в отраслях экономики;
деятельность по техническому обслуживанию и ремонту подвижного
состава на железнодорожном транспорте;
деятельность по техническому обслуживанию и ремонту техниче-
ских средств, используемых на железнодорожном транспорте;
деятельность по обращению с опасными отходами;
организация и содержание тотализаторов и игорных заведений;
оценочная деятельность;
туроператорская деятельность;
турагентская деятельность;
деятельность по продаже прав на клубный отдых;
негосударственная (частная) охранная деятельность;
негосударственная (частная) сыскная деятельность;
заготовка, переработка и реализация лома цветных металлов;
заготовка, переработка и реализация лома черных металлов;
деятельность, связанная с трудоустройством граждан РФ за предела-
ми РФ;
деятельность по разведению племенных животных (за исключением
случая, если указанная деятельность осуществляется для обеспече-
ния собственных нужд юридического лица или индивидуального
предпринимателя);
• деятельность по производству и использованию племенной продук-
ции (материала) (за исключением случая, если указанная деятель-
ность осуществляется для обеспечения собственных нужд юридиче-
ского лица или индивидуального предпринимателя);
420
Приложение 8
• публичный показ аудиовизуальных произведений, если указанная
деятельность осуществляется в кинозале;
• воспроизведение (изготовление экземпляров) аудиовизуальных про-
изведений и фонограмм на любых видах носителей;
• аудиторская деятельность;
• деятельность инвестиционных фондов;
• деятельность по управлению инвестиционными фондами, паевыми
инвестиционными фондами и негосударственными пенсионными
фондами;
• деятельность специализированных депозитариев инвестиционных
фондов, паевых инвестиционных фондов и негосударственных пен-
сионных фондов;
• деятельность негосударственных пенсионных фондов по пенсионно-
му обеспечению и пенсионному страхованию;
• деятельность по производству элитных семян (семян элиты);
• производство табачных изделий;
• деятельность по изготовлению и ремонту средств измерений;
• осуществляемая в море деятельность по приемке и транспортировке
уловов водных биологических ресурсов, включая рыб, а также дру-
гих водных животных и растений;
• деятельность по хранению зерна и продуктов его переработки;
• космическая деятельность;
• ветеринарная деятельность;
• медицинская деятельность;
• деятельность арбитражных управляющих.
Согласно и. 4 ст. 18 настоящего Федерального закона лицензирование
деятельности арбитражных управляющих прекращается с 1 июля 2002 г.:
• перевозка пассажиров и багажа железнодорожным транспортом;
• перевозка грузов железнодорожным транспортом;
• перевозка грузобагажа железнодорожным транспортом;
• деятельность по предоставлению инфраструктуры железнодорожно-
го транспорта общего пользования для осуществления перевозок;
• транспортировка грузов (перемещение грузов без заключения дого-
вора перевозки) по железнодорожным путям общего пользования,
421
Основы информационной безопасности
за исключением уборки прибывших грузов с железнодорожных вы-
ставочных путей, возврата их на железнодорожные выставочные пути;
• деятельность по продаже электрической энергии гражданам.
2. Перечень работ и услуг по космической деятельности, ветеринар-
ной деятельности и медицинской деятельности устанавливается положе-
ниями о лицензировании указанных видов деятельности.
3. Введение лицензирования иных видов деятельности возможно
только путем внесения дополнений в предусмотренный настоящим Фе-
деральным законом перечень видов деятельности, на осуществление ко-
торых требуются лицензии.
Статья 18. Переходные положения
1. Федеральные законы и иные нормативные правовые акты, регули-
рующие порядок лицензирования отдельных видов деятельности, за ис-
ключением видов деятельности, предусмотренных п. 2 ст. 1 настоящего
Федерального закона, действуют в части, не противоречащей настоящему
Федеральному закону, и подлежат приведению в соответствие с настоя-
щим Федеральным законом.
2. Лицензирование видов деятельности, не указанных в п. 1 ст. 17 на-
стоящего Федерального закона, прекращается со дня вступления в силу
настоящего Федерального закона.
3. Федеральные авиационные правила лицензирования деятельности
в области гражданской авиации действуют до момента вступления в силу
федерального закона о внесении соответствующих изменений в Воздуш-
ный кодекс РФ.
4. Лицензирование деятельности арбитражных управляющих пре-
кращается с 1 июля 2002 г.
Статья 19. Признание утратившими силу некоторых
законодательных актов в связи с принятием настоящего
Федерального закона
Со дня вступления в силу настоящего Федерального закона признать
утратившими силу:
• Федеральный закон от 25 сентября 1998 г. № 158-ФЗ «О лицензиро-
вании отдельных видов деятельности» (Собрание законодательства
РФ, 1998, №39, ст. 4857);
422
Приложение 8
• Федеральный закон от 26 ноября 1998 года № 178-ФЗ «О внесении
дополнений» в Федеральный закон «О лицензировании отдельных
видов деятельности» (Собрание законодательства РФ, 1998, № 48,
ст. 5853);
• Федеральный закон от 22 декабря 1999 года № 215-ФЗ «О внесении
дополнений» в ст. 17 Федерального закона «О лицензировании от-
дельных видов деятельности» (Собрание законодательства РФ, 1999,
№ 52, ст. 6365);
• Федеральный закон от 22 декабря 1999 года № 216-ФЗ «О внесении
дополнения в ст. 17 Федерального закона «О лицензировании от-
дельных видов деятельности» (Собрание законодательства РФ, 1999,
№ 52, ст. 6366);
• Федеральный закон от 12 мая 2000 года № 69-ФЗ «О внесении изме-
нения» в ст. 17 Федерального закона «О лицензировании отдельных
видов деятельности» (Собрание законодательства РФ, 2000, № 20,
ст. 2104);
• статью 2 Федерального закона от 29 декабря 2000 г. № 169-ФЗ
«О внесении изменений и дополнений в Федеральный закон «Об от-
ходах производства и потребления» и Федеральный закон «О лицен-
зировании отдельных видов деятельности» (Собрание законодатель-
стваРФ, 2001, № 1, ст. 21).
Статья 20. Вступление в силу настоящего Федерального
закона
Настоящий Федеральный закон вступает в силу по истечении шести
месяцев со дня его официального опубликования.
Президенту РФ и Правительству РФ привести свои нормативные
правовые акты в соответствие с настоящим Федеральным законом.
Президент РФ
В. Путин
Москва
8 августа 2001 г.
№ 128-ФЗ
423
Приложение 9
ФЕДЕРАЛЬНЫЙ ЗАКОН
«О КОММЕРЧЕСКОЙ ТАЙНЕ»
от 29 июля 2004 г. № 98-ФЗ
Принят Государственной Думой 9 июля 2004 г.
Одобрен Советом Федерации 15 июля 2004 г.
Статья 1. Цели и сфера действия настоящего
Федерального закона
1. Настоящий Федеральный закон регулирует отношения, связанные
с отнесением информации к коммерческой тайне, передачей такой ин-
формации, охраной ее конфиденциальности в целях обеспечения баланса
интересов обладателей информации, составляющей коммерческую тайну,
и других участников регулируемых отношений, в том числе государства,
на рынке товаров, работ, услуг и предупреждения недобросовестной кон-
куренции, а также определяет сведения, которые не могут составлять
коммерческую тайну.
2. Положения настоящего Федерального закона распространяются на
информацию, составляющую коммерческую тайну, независимо от вида
носителя, на котором она зафиксирована.
3. Положения настоящего Федерального закона не распространяются
на сведения, отнесенные в установленном порядке к государственной
тайне, в отношении которой применяются положения законодательства
РФ о государственной тайне.
Статья 2. Законодательство Российской Федерации
о коммерческой тайне
Законодательство РФ о коммерческой тайне состоит из Гражданского
кодекса РФ, настоящего Федерального закона, других федеральных законов.
Статья 3. Основные понятия, используемые в настоящем
Федеральном законе
Для целей настоящего Федерального закона используются следую-
щие основные понятия:
424
Приложение 9
1) коммерческая тайна - конфиденциальность информации, позво-
ляющая ее обладателю при существующих или возможных обстоятельст-
вах увеличить доходы, избежать неоправданных расходом, сохранить по-
ложение на рынке товаров, работ, услуг или получить иную коммерче-
скую выгоду;
2) информация, составляющая коммерческую тайну, - научно-
техническая, технологическая, производственная, финансово-экономи-
ческая или иная информация (в том числе составляющая секреты произ-
водства (ноу-хау), которая имеет действительную или потенциальную
коммерческую ценность в силу неизвестности ее третьим лицам, к кото-
рой нет свободного доступа на законном основании и в отношении кото-
рой обладателем такой информации введен режим коммерческой тайны;
3) режим коммерческой тайны - правовые, организационные, тех-
нические и иные принимаемые обладателем информации, составляющей
коммерческую тайну, меры по охране ее конфиденциальности;
4) обладатель информации, составляющей коммерческую тай-
ну, - лицо, которое владеет информацией, составляющей коммерческую
тайну, на законном основании, ограничило доступ к этой информации
и установило в отношении ее режим коммерческой тайны;
5) доступ к информации, составляющей коммерческую тайну,
ознакомление определенных лиц с информацией, составляющей коммер-
ческую тайну, с согласия ее обладателя или на ином законном основании
при условии сохранения конфиденциальности этой информации;
6) передача информации, составляющей коммерческую тайну, -
передача информации, составляющей коммерческую тайну и зафиксиро-
ванной на материальном носителе, ее обладателем контрагенту на осно-
вании договора в объеме и на условиях, которые предусмотрены догово-
ром, включая условие о принятии контрагентом установленных догово-
ром мер по охране ее конфиденциальности;
7) контрагент - сторона гражданско-правового договора, которой
обладатель информации, составляющей коммерческую тайну, передал
эту информацию;
8) предоставление информации, составляющей коммерческую
тайну, - передача информации, составляющей коммерческую тайну и
зафиксированной на материальном носителе, ее обладателем органам го-
сударственной власти, иным государственным органам, органам местно-
го самоуправления в целях выполнения их функций;
9) разглашение информации, составляющей коммерческую тай-
ну, - действие или бездействие, в результате которых информация, со-
ставляющая коммерческую тайну, в любой возможной форме (устной,
письменной, иной форме, в том числе с использованием технических
H2S
Основы информационной безопасности
средств) становится известной третьим лицам без согласия обладателя
такой информации либо вопреки трудовому или гражданско-правовому
договору.
Статья 4. Право на отнесение информации к информации,
составляющей коммерческую тайну, и способы получения
такой информации
1. Право на отнесение информации к информации, составляющей
коммерческую тайну, и на определение перечня и состава такой инфор-
мации принадлежит обладателю такой информации с учетом положений
настоящего Федерального закона.
2. Информация, самостоятельно полученная лицом при осуществле-
нии исследований, систематических наблюдений или иной деятельности,
считается полученной законным способом несмотря на то, что содержа-
ние указанной информации может совпадать с содержанием информа-
ции, составляющей коммерческую тайну, обладателем которой является
другое лицо.
3. Информация, составляющая коммерческую тайну, полученная от
ее обладателя на основании договора или другом законном основании,
считается полученной законным способом.
4. Информация, составляющая коммерческую тайну, обладателем ко-
торой является другое лицо, считается полученной незаконно, если ее
получение осуществлялось с умышленным преодолением принятых об-
ладателем информации, составляющей коммерческую тайну, мер по ох-
ране конфиденциальности этой информации, а также если получающее
эту информацию лицо знало или имело достаточные основания полагать,
что эта информация составляет коммерческую тайну, обладателем кото-
рой является другое лицо, и что осуществляющее передачу этой инфор-
мации лицо не имеет на передачу этой информации законного основания.
Статья 5. Сведения, которые не могут составлять
коммерческую тайну
Режим коммерческой тайны не может быть установлен лицами, осу-
ществляющими предпринимательскую деятельность, в отношении сле-
дующих сведений:
Приложение 9
1) содержащихся в учредительных документах юридического лица,
документах, подтверждающих факт внесения записей о юридических ли-
цах и об индивидуальных предпринимателях в соответствующие госу-
дарственные реестры;
2) содержащихся в документах, дающих право на осуществление
предпринимательской деятельности;
3) о составе имущества государственного или муниципального уни-
тарного предприятия, государственного учреждения и об использовании
ими средств соответствующих бюджетов;
4) о загрязнении окружающей среды, состоянии противопожарной
безопасности, санитарно-эпидемиологической и радиационной обстанов-
ке, безопасности пищевых продуктов и других факторах, оказывающих
негативное воздействие на обеспечение безопасного функционирования
производственных объектов, безопасности каждого гражданина и безо-
пасности населения в целом;
5) о численности, о составе работников, о системе оплаты труда,
об условиях труда, в том числе об охране труда, о показателях производ-
ственного травматизма и профессиональной заболеваемости и о наличии
свободных рабочих мест;
6) о задолженности работодателей по выплате заработной платы и по
иным социальным выплатам;
7) о нарушениях законодательства РФ и фактах привлечения к ответ-
ственности за совершение этих нарушений;
8) об условиях конкурсов или аукционов по приватизации объектов
государственной или муниципальной собственности;
9) о размерах и структуре доходов некоммерческих организаций,
о размерах и составе их имущества, об их расходах, о численности и
об оплате труда их работников, об использовании безвозмездного труда
граждан в деятельности некоммерческой организации;
10) о перечне лиц, имеющих право действовать без доверенности от
имени юридического лица;
И) обязательность раскрытия которых или недопустимость ограни-
чения доступа к которым установлена иными федеральными законами.
Статья 6. Предоставление информации,
составляющей коммерческую тайну
1. Обладатель информации, составляющей коммерческую тайну, по
мотивированному требованию органа государственной власти, иного го-
сударственного органа, органа местного самоуправления предоставляет
им на безвозмездной основе информацию, составляющую коммерческую
427
Основы информационной безопасности
тайну. Мотивированное требование должно быть подписано уполномо-
ченным должностным лицом, содержать указание цели и правового ос-
нования затребования информации, составляющей коммерческую тайну,
и срок предоставления этой информации, если иное не установлено фе-
деральными законами.
2. В случае отказа обладателя информации, составляющей коммерче-
скую тайну, предоставить ее органу государственной власти, иному госу-
дарственному органу, органу местного самоуправления данные органы
вправе затребовать эту информацию в судебном порядке.
3. Обладатель информации, составляющей коммерческую тайну,
а также органы государственной власти, иные государственные органы,
органы местного самоуправления, получившие такую информацию в со-
ответствии с частью 1 настоящей статьи, обязаны предоставить эту
информацию по запросу судов, органов прокуратуры, органов предвари-
тельного следствия, органов дознания по делам, находящимся в их про-
изводстве, в порядке и на основаниях, которые предусмотрены законода-
тельством РФ.
4. На документах, предоставляемых указанным в ч. 1 и 3 настоящей
статьи органам и содержащих информацию, составляющую коммерче-
скую тайну, должен быть нанесен гриф «Коммерческая тайна» с указани-
ем ее обладателя (для юридических лиц - полное наименование и место
нахождения, для индивидуальных предпринимателей - фамилия, имя, от-
чество гражданина, являющегося индивидуальным предпринимателем,
и место жительства).
Статья 7. Права обладателя информации,
составляющей коммерческую тайну
1. Права обладателя информации, составляющей коммерческую тай-
ну, возникают с момента установления им в отношении такой информа-
ции режима коммерческой тайны в соответствии со ст. 10 настоящего
Федерального закона.
2. Обладатель информации, составляющей коммерческую тайну,
имеет право:
1) устанавливать, изменять и отменять в письменной форме режим
коммерческой тайны в соответствии с настоящим Федеральным
законом и гражданско-правовым договором;
ИВ
Приложение 9
2) использовать информацию, составляющую коммерческую тайну,
для собственных нужд в порядке, не противоречащем законода-
тельству РФ;
3) разрешать или запрещать доступ к информации, составляющей
коммерческую тайну, определять порядок и условия доступа
к этой информации;
4) вводить в гражданский оборот информацию, составляющую ком-
мерческую тайну, на основании договоров, предусматривающих
включение в них условий об охране конфиденциальности этой
информации;
5) требовать от юридических и физических лиц, получивших доступ
к информации, составляющей коммерческую тайну, органов госу-
дарственной власти, иных государственных органов, органов ме-
стного самоуправления, которым предоставлена информация, со-
ставляющая коммерческую тайну, соблюдения обязанностей по
охране ее конфиденциальности;
6) требовать от лиц, получивших доступ к информации, составляю-
щей коммерческую тайну, в результате действий, осуществленных
случайно или по ошибке, охраны конфиденциальности этой ин-
формации;
7) защищать в установленном законом порядке свои права в случае
разглашения, незаконного получения или незаконного использо-
вания третьими лицами информации, составляющей коммерче-
скую тайну, в том числе требовать возмещения убытков, причи-
ненных в связи с нарушением его прав.
Статья 8. Обладатель информации, составляющей
коммерческую тайну, полученной в рамках трудовых
отношений
1. Обладателем информации, составляющей коммерческую тайну,
полученной в рамках трудовых отношений, является работодатель.
2. В случае получения работником в связи с выполнением своих тру-
довых обязанностей или конкретного задания работодателя результата,
способного к правовой охране в качестве изобретения, полезной модели,
промышленного образца, топологии интегральной микросхемы, про-
граммы для электронных вычислительных машин или базы данных, от-
ношения между работником и работодателем регулируются в соответст-
вии с законодательством РФ об интеллектуальной собственности.
Ж
Основы информационной безопасности
Статья 9. Порядок установления режима коммерческой
тайны при выполнении государственного контракта для
государственных нужд
Государственным контрактом на выполнение научно-исследова-
тельских, опытно-конструкторских, технологических или иных работ для
федеральных государственных нужд или нужд субъекта РФ должен быть
определен объем сведений, признаваемых конфиденциальными, а также
должны быть урегулированы вопросы, касающиеся установления в от-
ношении полученной информации режима коммерческой тайны.
Статья 10. Охрана конфиденциальности
информации
1. Меры по охране конфиденциальности информации, принимаемые
ее обладателем, должны включать в себя:
1) определение перечня информации, составляющей коммерческую
тайну;
2) ограничение доступа к информации, составляющей коммерческую
тайну, путем установления порядка обращения с этой информаци-
ей и контроля за соблюдением такого порядка;
3) учет лиц, получивших доступ к информации, составляющей ком-
мерческую тайну, и (или) лиц, которым такая информация была
предоставлена или передана;
4) регулирование отношений по использованию информации, состав-
ляющей коммерческую тайну, работниками на основании трудо-
вых договоров и контрагентами на основании гражданско-
правовых договоров;
5) нанесение на материальные носители (документы), содержащие
информацию, составляющую коммерческую тайну, грифа «Ком-
мерческая тайна» с указанием обладателя этой информации (для
юридических лиц - полное наименование и место нахождения, для
индивидуальных предпринимателей - фамилия, имя, отчество гра-
жданина, являющегося индивидуальным предпринимателем,
и место жительства).
2. Режим коммерческой тайны считается установленным после при-
нятия обладателем информации, составляющей коммерческую тайну,
мер, указанных в части 1 настоящей статьи.
Приложение 9
3. Индивидуальный предприниматель, являющийся обладателем ин-
формации, составляющей коммерческую тайну, и не имеющий работни-
ков, с которыми заключены трудовые договоры, принимает меры по ох-
ране конфиденциальности информации, указанные в части 1 настоящей
статьи, за исключением пи. 1 и 2, а также положений и. 4, касающихся
регулирования трудовых отношений.
4. Наряду с мерами, указанными в части 1 настоящей статьи, облада-
тель информации, составляющей коммерческую тайну, вправе применять
при необходимости средства и методы технической защиты конфиденци-
альности этой информации, другие не противоречащие законодательству
РФ меры.
5. Меры по охране конфиденциальности информации признаются ра-
зумно достаточными, если:
1) исключается доступ к информации, составляющей коммерческую
тайну, любых лиц без согласия ее обладателя;
2) обеспечивается возможность использования информации, состав-
ляющей коммерческую тайну, работниками и передачи ее контр-
агентам без нарушения режима коммерческой тайны.
6. Режим коммерческой тайны не может быть использован в целях,
противоречащих требованиям защиты основ конституционного строя,
нравственности, здоровья, прав и законных интересов других лиц, обес-
печения обороны страны и безопасности государства.
Статья 11. Охрана конфиденциальности информации
в рамках трудовых отношений
1. В целях охраны конфиденциальности информации работодатель
обязан:
1) ознакомить под распишу работника, доступ которого к информа-
ции, составляющей коммерческую тайну, необходим для выпол-
нения им своих трудовых обязанностей, с перечнем информации,
составляющей коммерческую тайну, обладателями которой явля-
ется работодатель и его контрагенты;
2) ознакомить под расписку работника с установленным работодате-
лем режимом коммерческой тайны и с мерами ответственности за
его нарушение;
3) создать работнику необходимые условия для соблюдения им уста-
новленного работодателем режима коммерческой тайны.
431
Основы информационной безопасности
2. Доступ работника к информации, составляющей коммерческую
тайну, осуществляется с его согласия, если это не предусмотрено его
трудовыми обязанностями.
3. В целях охраны конфиденциальности информации работник обязан:
1) выполнять установленный работодателем режим коммерческой
тайны;
2) не разглашать информацию, составляющую коммерческую тайну,
обладателями которой являются работодатель и его контрагенты,
и без их согласия не использовать эту информацию в личных це-
лях;
3) не разглашать информацию, составляющую коммерческую тайну,
обладателями которой являются работодатель и его контрагенты,
после прекращения трудового договора в течение срока, преду-
смотренного соглашением между работником и работодателем,
заключенным в период срока действия трудового договора, или в
течение трех лет после прекращения трудового договора, если
указанное соглашение не заключалось;
4) возместить причиненный работодателю ущерб, если работник ви-
новен в разглашении информации, составляющей коммерческую
тайну, ставшей ему известной в связи с исполнением им трудовых
обязанностей;
5) передать работодателю при прекращении или расторжении трудо-
вого договора имеющиеся в пользовании работника материальные
носители информации, содержащие информацию, составляющую
коммерческую тайну.
4. Работодатель вправе потребовать возмещения причиненных убыт-
ков лицом, прекратившим с ним трудовые отношения, в случае, если это
лицо виновно в разглашении информации, составляющей коммерческую
тайну, доступ к которой это лицо получило в связи с исполнением им
трудовых обязанностей, если разглашение такой информации последова-
ло в течение срока, установленного в соответствии с и. 3 ч. 3 настоящей
статьи.
5. Причиненные ущерб либо убытки не возмещаются работником или
прекратившим трудовые отношения лицом, если разглашение информа-
ции, составляющей коммерческую тайну, явилось следствием непреодо-
лимой силы, крайней необходимости или неисполнения работодателем
обязанности по обеспечению режима коммерческой тайны.
432
Приложение 9
6. Трудовым договором с руководителем организации должны преду-
сматриваться его обязательства по обеспечению охраны конфиденциаль-
ности информации, обладателем которой являются организация и ее
контрагенты, и ответственность за обеспечение охраны ее конфиденци-
альности.
7. Руководитель организации возмещает организации убытки, причи-
ненные его виновными действиями в связи с нарушением законодатель-
ства РФ о коммерческой тайне. При этом убытки определяются в соот-
ветствии с гражданским законодательством.
8. Работник имеет право обжаловать в судебном порядке незаконное
установление режима коммерческой тайны в отношении информации,
к которой он получил доступ в связи с исполнением им трудовых обязан-
ностей.
Статья 12. Охрана конфиденциальности информации
в рамках гражданско-правовых отношений
1. Отношения между обладателем информации, составляющей ком-
мерческую тайну, и его контрагентом в части, касающейся охраны кон-
фиденциальности информации, регулируются законом и договором.
2. В договоре должны быть определены условия охраны конфиден-
циальности информации, в том числе в случае реорганизации или ликви-
дации одной из сторон договора в соответствии с гражданским законода-
тельством, а также обязанность контрагента по возмещению убытков при
разглашении им этой информации вопреки договору.
3. В случае, если иное не установлено договором между обладателем
информации, составляющей коммерческую тайну, и контрагентом,
контрагент в соответствии с законодательством РФ самостоятельно оп-
ределяет способы защиты информации, составляющей коммерческую
тайну, переданной ему по договору.
4. Контрагент обязан незамедлительно сообщить обладателю инфор-
мации, составляющей коммерческую тайну, о допущенном контрагентом
либо ставшем ему известном факте разглашения или угрозы разглаше-
ния, незаконном получении или незаконном использовании информации,
составляющей коммерческую тайну, третьими лицами.
5. Обладатель информации, составляющей коммерческую тайну, пе-
реданной им контрагенту, до окончания срока действия договора не мо-
жет разглашать информацию, составляющую коммерческую тайну,
а также в одностороннем порядке прекращать охрану ее конфиденциаль-
ности, если иное не установлено договором.
дез
Основы информационной безопасности
6. Сторона, не обеспечившая в соответствии с условиями договора
охраны конфиденциальности информации, переданной по договору, обя-
зана возместить другой стороне убытки, если иное не предусмотрено до-
говором.
Статья 13. Охрана конфиденциальности информации
при ее предоставлении
1. Органы государственной власти, иные государственные органы,
органы местного самоуправления в соответствии с настоящим Федераль-
ным законом и иными федеральными законами обязаны создать условия,
обеспечивающие охрану конфиденциальности информации, предостав-
ленной им юридическими лицами или индивидуальными предпринима-
телями.
2. Должностные лица органов государственной власти, иных госу-
дарственных органов, органов местного самоуправления, государствен-
ные или муниципальные служащие указанных органов без согласия об-
ладателя информации, составляющей коммерческую тайну, не вправе
разглашать или передавать другим лицам, органам государственной вла-
сти, иным государственным органам, органам местного самоуправления
ставшую известной им в силу выполнения должностных (служебных)
обязанностей информацию, составляющую коммерческую тайну, за ис-
ключением случаев, предусмотренных настоящим Федеральным законом,
а также не вправе использовать эту информацию в корыстных или иных
личных целях.
3. В случае нарушения конфиденциальности информации должност-
ными лицами органов государственной власти, иных государственных
органов, органов местного самоуправления, государственными и муни-
ципальными служащими указанных органов эти лица несут ответствен-
ность в соответствии с законодательством РФ.
Статья 14. Ответственность за нарушение настоящего
Федерального закона
1. Нарушение настоящего Федерального закона влечет за собой дис-
циплинарную, гражданско-правовую, административную или уголовную
ответственность в соответствии с законодательством РФ.
2. Работник, который в связи с исполнением трудовых обязанностей,
получил доступ к информации, составляющей коммерческую тайну, об-
ладателями которой являются работодатель и его контрагенты, в случае
Приложение 9
умышленного или неосторожного разглашения этой информации при от-
сутствии в действиях такого работника состава преступления несет дис-
циплинарную ответственность в соответствии с законодательством РФ.
Согласно ГК РФ работники, разгласившие служебную или коммерче-
скую тайну вопреки трудовому договору, обязаны возместить причинен-
ные убытки.
3. Органы государственной власти, иные государственные органы,
органы местного самоуправления, получившие доступ к информации, со-
ставляющей коммерческую тайну, несут перед обладателем информации,
составляющей коммерческую тайну, гражданско-правовую ответствен-
ность за разглашение или незаконное использование этой информации их
должностными лицами, государственными или муниципальными служа-
щими указанных органов, которым она стала известна в связи с выполне-
нием ими должностных (служебных) обязанностей.
4. Лицо, которое использовало информацию, составляющую коммер-
чсскую тайну, и не имело достаточных оснований считать использование
данной информации незаконным, в том числе получило доступ к ней
в результате случайности или ошибки, не может в соответствии с на-
стоящим Федеральным законом быть привлечено к ответственности.
5. По требованию обладателя информации, составляющей коммерче-
скую тайну, лицо, указанное в части 4 настоящей статьи, обязано принять
меры по охране конфиденциальности информации. При отказе такого
лица принять указанные меры обладатель информации, составляющей
коммерческую тайну, вправе требовать в судебном порядке защиты сво-
их прав.
Статья 15. Ответственность за непредоставление
органам государственной власти, иным
государственным органам, органам местного
самоуправления информации, составляющей
коммерческую тайну
Невыполнение обладателем информации, составляющей коммерче-
скую тайну, законных требований органов государственной власти, иных
государственных органов, органов местного самоуправления о предос-
тавлении им информации, составляющей коммерческую тайну, а равно
воспрепятствование получению должностными лицами этих органов ука-
занной информации влечет за собой ответственность в соответствии с за-
конодательством РФ.
435
Основы информационной безопасности
Статья 16. Переходные положения
Грифы, нанесенные до вступления в силу настоящего Федерального
закона на материальные носители и указывающие на содержание в них
информации, составляющей коммерческую тайну, сохраняют свое дейст-
вие при условии, если меры по охране конфиденциальности указанной
информации будут приведены в соответствие с требованиями настоящего
Федерального закона.
Президент РФ
В. Путин
Москва, Кремль
29 июля 2004 г.
№>98-ФЗ
436
Приложение 10
ГЛОССАРИЙ
Термин Определение Источник
Автор Физическое лицо, творческим трудом которого создано произве- дение Закон РФ от 09.17.93№5351-1 «Об авторском праве и смежных правах», ст. 4
Автор аудиовизуального произведения Режиссер-постановщик; автор сценария (сценарист); автор музыкального произведения (с текстом или текста), специально созданного для этого аудиовизуаль- ного произведения (композитор) Закон РФ от 09.07.93 №5351-1 «Об авторском праве и смежных правах», ст. 13
Автор изобретения, полезной модели, промышленного образца Физическое лицо, творческим трудом которого они созданы Закон РФ от 33.09.92№3517-1 «Патентный закон Российской Федерации», ст. 7
Автор программы доя ЭВМ или базы данных Физическое лицо, в результате творческой деятельности которого они созданы Закон РФ от 23.09.92№3523-1 «О правовой ох- ране программ для электронных вы- числительных машин и баз дан- ных», ст. 8
Автор топологии Физическое лицо, в результате творческой деятельности которого эта топология была создана Закон РФ от 23.09.92№332б-1 «О правовой ох- ране топологий интегральных микросхем», ст. 4 1
Авторское право Авторское право - совокупность правовых норм, регулирующих отношения, возникающие в связи с созданием и использованием произведений науки, литературы и искусства. Закон РФ от 09.07.93 №3331-1 «Об авторском праве и смежных правах»
437
Основы информационной безопасности
Термин Определение Источник
Авторское право распространяет- ся на произведения науки, литера- туры и искусства, являющиеся ре- зультатом творческой деятельно- сти, независимо от назначения и достоинства произведения, а так- же от способа его выражения. Авторское право не распространя- ется на идеи, методы, процессы, системы, способы, концепции, принципы, открытия, факты. Примечание. Объекты авторского права - литературные произведе- ния (включая программы дая ЭВМ); драматические и музы- кально-драматические произведе- ния, сценарные произведения; хо- реографические произведения и пантомимы; музыкальные произ- ведения с текстом или без текста; аудиовизуальные произведения (кино-, теле- и видеофильмы, слайдфильмы, диафильмы и дру- гие кино- и телепроизведения); произведения живописи, скульп- туры, графики, дизайна, графиче- ские рассказы, комиксы и другие произведения изобразительного искусства, произведения декора- тивно-прикладного и сценографи- ческого искусства; произведения архитектуры, градостроительства и садово-паркового искусства; фо- тографические произведения и произведения, полученные спосо- бами, аналогичными фотографии; географические, геологические и другие карты, планы, эскизы и пластические произведения, отно- сящиеся к географии, топографии и к другим наукам; производные произведения (переводы, обработ- ки, аннотации, рефераты, резюме, обзоры, инсценировки, аранжи-
438
Приложение 10
Термин Определение Источник
ровки и другие переработки про- изведений науки, литературы и ис- кусства); сборники (энциклопедии, антологии, базы данных) и другие составные произведения, пред- ставляющие собой по подбору или расположению материалов ре- зультат творческого труда; другие произведения. Не являются объектами авторско- го права: официальные документы (законы, судебные решения, иные тексты законодательного, админи- стративного и судебного характе- ра), а также их официальные пере- воды; государственные символы и знаки (флаги, гербы, ордена, де- нежные знаки и иные государст- венные символы и знаки); произ- ведения народного творчества; со- общения о событиях и фактах, имеющие информационный ха- рактер
Адаптация програм- мы для ЭВМ или базы данных Это внесение изменений, осуще- ствляемых исключительно в целях обеспечения функционирования программы для ЭВМ или базы данных на конкретных техниче- ских средствах пользователя или под управлением конкретных про- грамм пользователя Закон РФ от 23.09.92 №3323-1 «О правовой охране программ для электронных вы числительных машин и баз дан- ных»
Адресные данные пользователей услуг почтовой связи Информация о гражданах (фами- лия, имя, отчество, почтовый ад- рес), а также о других пользовате- лях услуг почтовой связи (наиме- нование и почтовый адрес) Федеральный закон от 17.07.99 №176-ФЗ «О почтовой связи», ст. 2
Архив Совокупность архивных докумен- тов, а также архивное учреждение или структурное подразделение учреждения, организации или предприятия, осуществляющее прием и хранение архивных доку- ментов в интересах пользователей Основы законо- дательства РФ об Архивном фон- де РФ и архивах от 07.0793 №5341-1, ст. 1
Основы информационной безопасности
Термин Определение Источник
Архивное дело Деятельность по организации хра- нения, учета и использования ар- хивных документов Основы законо- дательства РФ об Архивном фон- де РФ и архивах от 07.07.93 № 5341-1, ст. 1
Архивный документ Документ, сохраняемый или под- лежащий сохранению в силу его значимости дая общества, а равно имеющий ценность дая собствен- ника Основы законо- дательства РФ об Архивном фон- де РФ и архивах от 07.07.93 №5341-1, ст. 1
Архивный фонд РФ Совокупность документов, отра- жающих материальную и духов- ную жизнь ее народов, имеющих историческое, научное, социаль- ное экономическое, политическое или культурное значение и яв- ляющихся неотъемлемой частью историко-культурного наследия народов РФ Основы законо- дательства РФ об Архивном фон- де РФ и архивах от 07.07.93 №5341-1, cm. I
Аудиовизуальное произведение Произведение, состоящее из за- фиксированной серии связанных между собой кадров (с сопровож- дением или без сопровождения их звуком) предназначенное для зри- тельного и слухового (в случае сопровождения звуком) воспри- ятия с помощью соответствующих технических устройств; аудиови- зуальные произведения включают кинематографические произведе- ния и все произведения, выражен- ные средствами аналогичными кинематографическим (теле- и ви- деофильмы, диафильмы и слайд- фильмы и тому подобные произ- ведения), независимо от способа их первоначальной или после- дующей фиксации Закон РФ от 09.07.93№5351-1 «Об авторском праве и смежных правах, ст. 4
440
Приложение 10
Термин Определение Источник
Аутентификация Проверка принадлежности субъ- екту доступа предъявленного им идентификатора, подтверждение подлинности Сборник руково- дящих докумен- тов по защите информации от несанкциониро- ванного доступа Государственной технической ко- миссии при Пре- зиденте РФ, 1998 г.
База данных Объективная форма представле- ния и организации совокупности данных (например: статей, расче- тов), систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью ЭВМ Закон РФ от 23.09.92 №3523-1 «О правовой ох- ране программ для электронных вычислительных машин и баз дан- ных», ст. 1
База данных Объективная форма представле- ния и организации совокупности данных (статей, расчетов и так да- лее), систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с по- мощью электронной вычисли- тельной машины (ЭВМ) Закон РФ от 09.07.93 №5351-1 «Об авторском праве и смежных правах», ст. 4
База данных Совокупность организованных взаимосвязанных данных на ма- шиночитаемых носителях Временное поло- жение о государ- ственном учете и регистрации баз и банков данных», утвержденное постановлением правительства РФ от 28.02.96 № 226, п. 2
441
Основы информационной безопасности
Термин Определение Источник
Банковская тайна Кредитная организация. Банк России гарантируют тайну об опе- рациях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об опера- циях, счетах и вкладах ее клиен- тов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону Закон РСФСР от 02.12.90 №395-1 «О зачете прав потребителей», ст. 26 (в ред. Фе- дерального закона от 03.02.96 М17-ФЗ, ст. 1)
Банк гарантирует тайну Банковского счета и банковского вклада, операций по счету и све- дений о клиенте Гражданский кодекс РФ от 26.01. 96 № 14-ФЗ, ст. 857
Безопасность Состояние защищенности жиз- ненно важных интересов лично- сти, общества и государства от внутренних и внешних угроз Закон РФ от 05.03.92 №2446-1 «О безопасно- сти», ст. 1; Федеральная про- грамма РФ по усилению борьбы с преступностью па 1994-1995 гг., утвержденная Указом Прези- дента РФ от 24.05.94 №1016
Библиотека Информационное, культурное, об- разовательное учреждение, распо- лагающее организованным фон- дом тиражированных документов и предоставляющее их во времен- ное пользование физическим и юридическим лицам; библиотека может быть самостоятельным уч- реждением или структурным под- разделением предприятия, учреж- дения, организации Федеральный за- кон от 29.12.94 № 78-ФЗ «О биб- лиотечном деле», ст. 1
Приложение 10
Термин Определение Источник
Ведомственные сети связи Сети электросвязи министерств и иных федеральных органов ис- полнительной власти, создавае- мые для удовлетворения произ- водственных и специальных нужд, имеющие выход на сеть связи об- щего пользования Федеральный закон от 16.02.95 № 15-ФЗ «О свя- зи», ст. 2
Верификация Процесс сравнения двух уровней спецификации средств вычисли- тельной техники или автоматизи- рованных систем на надлежащее соответствие Сборник руково- дящих докумен- тов по защите информации от несанкциониро- ванного доступа Государственной технической ко- миссии при Пре- зиденте РФ, 1998 г.
Владелец сертифи- ката ключа подписи Физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и ко- торое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подпи- сывать электронные документы Федеральный закон РФ от 10 января 2002 г. > 1-ФЗ «Об электронной циф- ровой подписи»
Владелец информации Субъект, осуществляющий владе- ние и пользование информацией и реализующий полномочия распо- ряжения в пределах прав, уста- новленных законом и/или собст- венником информации ГОСТР 50922-96. Защита инфор- мации. Основные термины и опре- деления. (Прил. А)
Владелец информа- ционных ресурсов, информационных систем, технологий и средств их обеспечения Субъект, осуществляющий владе- ние и пользование указанными объектами и реализующий полно- мочия распоряжения в пределах, установленных законом Федеральный за- кон от 20.02.95 № 24-ФЗ «Об ин- формации, ин- форматизации и защите информа- ции», ст. 2
Основы информационной безопасное!и
Термин Определение Источник
Войска Федерально- го агентства прави- тельственной связи и информации при Президенте РФ Войска правительственной связи, части радиоразведки и инженерно- строительные части, которые соз- даются, содержатся и используют- ся, в том числе за пределами РФ, в соответствии с законодательством РФ Закон РФ от 19.02.93 №4524-1 «О федеральных органах прави- тельственной связи и информа- ции», ст. 8
Воспроизведение программы для ЭВМ или базы данных Это изготовление одного или бо- лее экземпляров программы для ЭВМ или базы данных в любой материальной форме, а также их запись в память ЭВМ Закон РФ от 23.09.92 №3523-1 «О правовой ох- ране программ для электронных вычислительных машин и баз дан- ных»
Воспроизведение произведения Изготовление одного или более экземпляров произведения или его части в любой материальной фор- ме, в том числе в форме звуко- и видеозаписи, изготовление в трех измерениях одного или более эк- земпляров двухмерного произве- дения и в двух измерениях - одно- го или более экземпляров трех- мерного произведения; запись произведения в память ЭВМ так- же является воспроизведением Закон РФ от 09.07.93 №5351-1 «Об авторском праве и смежных правах», ст. 4
Воспроизведение фонограммы Изготовление одного или более экземпляров фонограммы или ее части на любом материальном но- сителе Закон РФ от 09.07.93 №5351-1 «Об авторском праве и смежных правах», ст. 4
Выпуск в свет (опубликование) программы для ЭВМ или базы данных Это предоставление экземпляров программы для ЭВМ или базы данных с согласия автора неопре- деленному кругу лиц (в том числе путем записи в память ЭВМ и вы- пуска печатного текста), при усло- вии, что количество таких экземп- ляров должно удовлетворять по- требности этого круга лиц, принимая во внимание характер указанных произведений Закон РФ от 23.09.92 №352 3-1 «О правовой ох- ране программ для электронных вы- числительных машин и баз дан- ных», ст. 1
444
Приложение 10
Термин Определение Источник
Г осударственная база данных База данных, созданная, приобре- тенная или накапливаемая за счет или с привлечением средств феде- рального бюджета Временное поло- жение о государ- ственном учете и регистрации баз и банков данных», утвержденное постановлением Правительства РФ от 28.02.96 > 226, п. 3
Государственная измена Шпионаж, выдача государствен- ной тайны либо иное оказание по- мощи иностранному государству, иностранной организации или их представителям в проведении враждебной деятельности в ущерб внешней безопасности РФ Уголовный кодекс- РФ от 13.06.96 > 63-ФЗ, ст. 275
Государственная поддержка средств массовой информаци Совокупность организационных, организационно-технических, правовых, экономических иных мер, устанавливаемых государст- вом в целях обеспечения прав граждан на получение объектив- ной информации, на свободу сло- ва, а также в целях обеспечения независимости средств массовой информации Федеральный за- кон от 01.12.95 > 191-ФЗ «О го- сударственной поддержке средств массовой информации и книгоиздания РФ», ст. 1
Государственная тайна Защищаемые государством сведе- ния в области его военной, внеш- неполитической, экономической, разведывательной, контрразведы- вательной и оперативно-розыск- ной деятельности, распростране- ние которых может нанести ущерб безопасности РФ Закон РФ от 21.07.93 №5485-1 «О государствен- ной тайне» вред. Федерального за- кона от 06.10.97 № 131-ФЗ, ст. 2
Г осударственная техническая комис- сия при Президенте РФ (Гостехкомиссия России) Федеральный орган исполнитель- ной власти, осуществляющий межотраслевую координацию и функциональное регулирование деятельности по обеспечению за- щиты (некриптографическими ме- тодами) информации, содержащей сведения, составляющие государ- Указ Президента РФ от 19.02.99 №212 «Вопросы Государст венной технической ко- миссии при Пре- зиденте Россий- ской Федерации»
445
Основы информационной безопасности
Термин Определение Источник
ственную или служебную тайну, от ее утечки по техническим кана- лам, от несанкционированного доступа к ней, от специальных воздействий на информацию в це- лях ее уничтожения, искажения и блокирования и по противодейст- вию техническим средствам раз- ведки на территории РФ, а также единую государственную научно- техническую политику в области защиты информации при разра- ботке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств. Примечание. Гостехкомиссия Рос- сии организует деятельность госу- дарственной системы защиты ин- формации в РФ от технических разведок и от ее утечки по техни- ческим каналам Гостехкомиссия России и региональные центры входят в состав государственных органов обеспечения безопасности РФ
Г осу дарственная часть Архивного фонда РФ Архивные фонды и архивные до- кументы, являющиеся федераль- ной собственностью, государст- венной собственностью республик в составе РФ, краев, областей, ав- тономной области, автономных округов, городов Москвы и Санкт- Петербурга и муниципальной соб- ственностью Основы законо- дательства РФ об Архивном фон- де РФ и архивах от 0707.93 №5341-1. ст. б
446
Приложение 10
Термин Определение Источник
Государственное региональное средство массовой информации Средство массовой информации, учредителями которого выступа- ют федеральные органы государ- ственной власти совместно с орга- нами государственной власти субъектов РФ либо только органы государственной власти субъектов РФ Федеральный закон от 13.01.95 № 7-ФЗ «О поряд- ке освещения деятельности ор- ганов государст- венной власти в государственных средствах массо- вой информации», ст. 3
Государственное федеральное средство массовой информации Средство массовой информации, учредителем которого выступает федеральный орган государствен- ной власти Федеральный закон от 13.01.95 Ия 7-ФЗ «О поряд- ке освещения деятельности ор- ганов государст- венной власти в государственных средствах массо- вой информации», ст. 3
Г осударственные органы обеспечения безопасности Органы, предназначенные для не- посредственного выполнения функций по обеспечению безо- пасности личности, общества и государства в системе исполни- тельной власти Закон РФ от 05.03.92 №2446-1 «О безопасно- сти», ст. 4
Гриф секретности Реквизиты, свидетельствующие о степени секретности сведений, со- держащихся в их носителе, про- ставляемые на самом носителе и (или) в сопроводительной доку- ментации на него Закон РФ от 21.07.93 №5485-1 «О государствен- ной тайне» в ред. Федерального за- кона от 06.10.97 № 131-ФЗ, ст. 2
Декомпилирование программы для ЭВМ Технический прием, включающий преобразование объектного кода в исходный текст в целях изучения структуры и кодирования про- граммы для ЭВМ Закон РФ от 23.09 92 №3523-1 «О правовой ох- ране программ для электронных вычислительных машин и баз дан- ных», ст. 1
447
Основы информационной безопасности
Термин Определение Источник
Деятельность по поддержанию или восстановлению ме- ждународного мира и безопасности с участием РФ Операции по поддержанию мира и другие меры, предпринимаемые Советом Безопасности Организа- ции Объединенных Наций в соот- ветствии с Уставом ООН, регио- нальными органами либо в рамках региональных органов или согла- шений РФ, либо на основании двусторонних и многосторонних международных договоров РФ и не являющиеся согласно Уставу ООН принудительными дейст- виями, а также международные принудительные действия с использованием вооруженных сил, осуществляемые по решению Совета Безопасности ООН, приня- тому в соответствии с Уставом ООН для устранения угрозы миру, нарушений мира или акта агрессии Федеральный за- кон от 23.06.95 № 93-ФЗ «О по- рядке предостав- ления Российской Федерацией воен- ного и граждан- ского персонала для участия в деятельности по поддержанию или восстановлению международного мира и безопасно- сти», ст. 2
Документ Материальный объект с зафикси- рованной на нем информацией в виде текста, звукозаписи или изображения, предназначенный для передачи во времени и про- странстве в целях хранения и об- щественного использования. - см. Документированная информа- ция (документ) Федеральный закон от 29.1.94 > 77-ФЗ «Об обя- зательном экзем- пляре докумен- тов», ст. 1; Фе- деральный закон от 29.12.94 №78- ФЗ «О библиотеч- ном деле», cm. I
Документированная информация (документ) Зафиксированная на материаль- ном носителе информация с рек- визитами, позволяющими ее иден- тифицировать Федеральный закон от 20.02.95 № 24-ФЗ «Об ин- формации, ин- форматизации и защите инфор- мации», ст. 2; Федеральный закон от 04.07.96 №85-ФЗ «Об уча- стии в междуна- родном информа- ционном обмене», ст. 2
Приложение 10
Термин Определение Источник
Документированная информация с огра- ниченным доступом По условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную. За- прещено относить к информации с ограниченным доступом: зако- нодательные и другие норматив- ные акты, устанавливающие пра- вовой статус органов государст- венной власти, органов местного самоуправления, организаций, общественных объединений, а также права, свободы и обязанно- сти граждан, порядок их реализа- ции; документы, содержащие ин- формацию о чрезвычайных ситуа- циях, экологическую, метеорологическую, демографи- ческую, санитарно- эпидемиологическую и другую информацию, необходимую для обеспечения безопасного функ- ционирования населенных пунк- тов, производственных объектов, безопасности граждан и населения в целом, документы, содержащие информацию о деятельности орга- нов государственной власти и ор- ганов местного самоуправления, об использовании бюджетных средств и других государственных и местных ресурсов, о состоянии экономики и потребностях насе- ления, за исключением сведений, отнесенных к государственной тайне; документы, накапливаемые в открытых фондах библиотек и архивов, информационных систе- мах органов государственной вла- сти, органов местного самоуправ- ления, общественных объедине- ний, организаций, представляющие общественный интерес или необходимые для реализации прав, свобод и обязан- ностей граждан Федеральный за- кон от 20.02.95 № 24-ФЗ «Об ин- формации, ин- форматизации и займите инфор- мации», ст. 10
SW9
Основы информационной безопасности
Термин Определение Источник
Допуск к государственной тайне Процедура оформления права граждан На доступ к сведениям, составляющим государственную тайну, а предприятий, учрелщений и организаций - на проведение работ с использованием таких све- дений. Примечание. Допуск должност- ных лиц и граждан к государст- венной тайне предусматривает: принятие на себя обязательств пе- ред государством по нераспро- странению доверенных им сведе- ний, составляющих государствен- ную тайну; согласие на частичные, временные ограничения их прав в соответствии со статьей 24 Закона РФ от 21.07.93 № 5485-1 в редак- ции Федерального закона РФ от 06.10.97 № 131 -ФЗ «О государст- венной тайне», письменное согла- сие на проведение в отношении их полномочными органами прове- рочных мероприятий; определе- ние видов, размеров и порядка предоставления льгот, предусмот- ренных Законом РФ от 21.07.93 № 5485-1 в редакции Федерально- го закона РФ от 06.10.97 № 131- ФЗ «О государственной тайне»; ознакомление с нормами законо- дательства РФ о государственной тайне, предусматривающими от- ветственность за его нарушение; принятие решения руководителем органа государственной власти, предприятия, учрелщения или ор- ганизации о допуске оформляемо- го лица к сведениям, составляю- щим государственную тайну. Льготы ддя должностных лиц и граждан, допущенных к государ- ственной тайне на постоянной ос- нове: процентные надбавки Закон РФ от 21.07.93 №5485-1 «О государствен- ной тайне» вред. Федерального за- кона от 06.10.97 №131-Ф3,ст. 21
450
Приложение 10
Термин Определение Источник
к заработной плате в зависимости от степени секретности сведений, к которым они имеют доступ, преимущественное право при про- чих равных условиях на оставле- ние на работе при проведении ор- ганами государственной власти, предприятиями, учреждениями и организациями организационных и (или) штатных мероприятий. Для сотрудников структурных подразделений по защите государ- ственной тайны дополнительно к льготам, установленным ддя должностных лиц и граждан, до- пущенных к государственной тай- не на постоянной основе, устанав- ливается процентная надбавка к заработной плате за стаж работы в указанных структурных подразде- лениях. Устанавливаются три формы до- пуска к государственной тайне должностных лиц и граждан, со- ответствующие трем степеням секретности сведений, состав- ляющих государственную тайну: сведения особой важности, совер- шенно секретные или секретные
Доступ к информации Ознакомление с информацией, ее обработка, в частности, копирова- ние, модификация или уничтоже- ние информации Сборник руково- дящих докумен- тов по защите информации от несанкциониро- ванного доступа Госу дарственной технической ко- миссии при Пре- зиденте РФ, 1998г.
Основы информационной безопасности
Термин Определение Источник
Доступ к информации Получение субъектом возможно- сти ознакомления с информацией, в том числе при помощи техниче- ских средств ГОСТ Р 50922-96. Защита инфор- мации. Основные термины и опре- деления. (Прил.А)
Доступ к сведениям, составляющим госу- дарственную тайну Санкционированное полномоч- ным должностным лицом озна- комление конкретного лица со сведениями, составляющими го- сударственную тайну Закон РФ от 21.07.93 №5485-1 «О государствен- ной тайне» в ред. Федерального за- кона от 06.10.97 №131-Ф3,ст.2
Доступность (санкционированная доступность) информации Состояние информации, характе- ризуемое способностью техниче- ских средств и информационных технологий обеспечивать беспре- пятственный доступ к информа- ции субъектов, имеющих на это полномочия
Единая система федеральных органов правительственной связи и информации Федеральное агентство правитель- ственной связи и информации при Президенте РФ; органы прави- тельственной связи и информации (центры правительственной связи, информационно-аналитические органы) в субъектах РФ; войска; учебные заведения, научно- исследовательские организации, предприятия Закон РФ от 19.02.93№4324-1 «О федеральных органах прави- тельственной связи и информа- ции», ст. 5
Жизненно важные интересы Совокупность потребностей, удов- летворение которых надежно обес- печивает существование и возмож- ности прогрессивного развития личности, общества и государства Закон РФ от 05.03.92№2446-1 «О безопасно- сти», ст. 1
Запись [в области авторского права] Фиксация звуков и (или) изобра- жений с помощью технических средств в какой-либо материаль- ной форме, позволяющей осуще- ствлять их неоднократное воспри- ятие, воспроизведение или сооб- щение Закон РФ от 09.07.93№5351-1 «Об авторском праве и смежных правах», ст. 4
Приложение 10
Термин Определение Источник
Защита информации Защите подлежит любая докумен- тированная информация, непра- вомерное обращение с которой может нанести ущерб ее собст- веннику, владельцу, пользователю и иному лицу. Примечание. Защита информации имеет целью: предотвращение утечки, хищения, утраты, искаже- ния, подделки информации; предотвращение угроз безопасно- сти личности, общества, государ- ства; предотвращение несанкцио- нированных действий по уничто- жению, модификации, искажению, копированию, блокированию ин- формации; предотвращение дру- гих форм незаконного вмешатель- ства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности; защи- та конституционных прав граждан на сохранение личной тайны и конфиденциальности персональ- ных данных, имеющихся в ин- формационных системах; сохра- нение государственной тайны, конфиденциальности документи- рованной информации в соответ- ствии с законодательством; обес- печение прав субъектов в инфор- мационных процессах и при разработке, производстве и при- менении информационных систем, технологий и средств их обеспе- чения Федеральный за- кон от 20.02.95 ЛЬ 24-ФЗ «Об ин- формации, ин- форматизации и защите информа- ции», ст. 20, 21
Защита информации от агентурной раз- ведки Деятельность по предотвращению получения защищаемой информа- ции агентурной разведкой ГОСТ Р 50922-96. Защита инфор- мации. Основные термины и опре- деления
453
Основы информационной безопасности
Термин Определение Источник
Защита информации от непреднамерен- ного воздействия Деятельность по предотвращению воздействия на защищаемую ин- формацию от ошибок пользовате- лей информации, сбоев техниче- ских и программных средств ин- формационных систем, а также природных явлений или иных не- целенаправленных на изменение информации воздействий, связан- ных с функционированием техни- ческих средств, систем или с дея- тельностью людей, приводящих к искажению, уничтожению, ко- пированию, блокированию досту- па к информации, а также к утрате, уничтожению или сбою функцио- нирования носителя информации ГОСТ Р 30922-96. «Защита информации. Основные терми- ны и определения»
Защита информации от несанкциониро- ванного воздействия Деятельность по предотвращению воздействия на защищаемую ин- формацию с нарушением установ- ленных правил и правил на изме- нение информации, приводящего к искажению, уничтожению, ко- пированию, блокированию досту- па к информации, а также к утра- те, уничтожению или сбою функ- ционирования носителя информации ГОСТ Р 50922-96. «Защита инфор- мации. Основные термины и опре- деления»
Защита информации от несанкциониро- ванного доступа Деятельность по предотвращению получения защищаемой информа- ции заинтересованным субъектом с нарушением установленных правовыми документами или соб- ственником, владельцем инфор- мации прав или правил доступа к защищаемой информации ГОСТ Р 50922-96. «Защита инфор- мации. Основные термины и опре- деления»
Защита информации от утечки Деятельность по предотвращению неконтролируемого распростране- ния защищаемой информации от ее разглашения и несанкциониро- ванного доступа к защищаемой информации и от получения за- щищаемой информации (ино- странными) разведками ГОСТ Р 50922-96. «Защита инфор- мации. Основные термины и опре- деления»
Приложение 10
Термин Определение Источник
Защита информации от разглашения Деятельность по предотвращению несанкционированного доведения защищаемой информации до не- контролируемого количества по- лучателей информации ГОСТ Р 50922-96. «Защита инфор- мации. Основные термины и опре- деления»
Защита информации от (иностранной) разведки Деятельность по предотвращению получения защищаемой информа- ции (иностранной) разведкой ГОСТ Р 50922-96. «Защита инфор- мации. Основные термины и опре- деления»
Защита информации от (иностранной) технической разведки Деятельность по предотвращению получения защищаемой информа- ции (иностранной) технической разведкой с помощью технических средств ГОСТ Р 50922-96. «Защита инфор- мации. Основные термины и опре- деления»
Защита прав субъек- тов в сфере инфор- мационных процес- сов и информатиза- ции Осуществляется в целях преду- прелщения правонарушений, пре- сечения неправомерных действии, восстановления нарушенных прав и возмещения причиненного ущерба Федеральный закон от 20.02.95 ЛЬ 24-ФЗ «Об ин- формации, ин- форматизации и защите инфор- мации», ст. 23
Защищаемая информация Информация, являющаяся предме- том собственности и подлежащая защите в соответствии с требова- ниями правовых документов или требованиями, установленными собственником информации ГОСТ Р 50922-96. «Защита инфор- мации. Основные термины и опре- деления»
Знак охраны авторского права Помещается на каждом экземпля- ре произведения и состоит из трех элементов: латинской буквы «С» в окружности; имени (наименова- ния) обладателя исключительных авторских прав; года первого опубликования произведения Закон РФ от 09.07.93№5331-1 «Об авторском праве и смежных правах», ст. 9
Знак охраны смежных прав Помещается на каждом экземпля- ре фонограммы и (или) на каждом содержащем ее футляре и состоит из трех элементов: латинской бук- вы «Р» в окружности; имени (на- именования) обладателя исключи- тельных смежных прав; года пер- вого опубликования фонограммы Закон РФ от 09.07.93 №5351-1 «Об авторском праве и смежных правах», ст. 36.
Основы информационной безопасности
Термин Определение Источник
Идентификатор доступа Уникальный признак субъекта или объекта доступа Сборник руково- дящих докумен- тов по защите информации от несанкциониро- ванного доступа Государственной технической ко- миссии при Пре- зидентеРФ, 1998г.
Идентификация Присвоение субъектам или объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов Сборник руково- дящих докумен- тов по защите информации от несанкциониро- ванного доступа Государственной технической ко- миссии при Пре- зиденте РФ, 1998 г.
Изготовитель аудиовизуального произведения Физическое или юридическое ли- цо, взявшее на себя инициативу и ответственность за изготовление та- кого произведения, при отсутствии доказательств иного изготовителем аудиовизуального произведения признается физическое или юриди- ческое лицо, имя или наименование которого обозначено на этом произ- ведении обычным образом Закон РФ от 09.07.93 №5351-1 «Об авторском праве и смежных правах», ст. 4
Изготовитель фонограммы Физическое или юридическое лицо, взявшее на себя инициативу и от- ветственность за первую звуковую запись исполнения или иных звуков, при отсутствии доказательств иного изготовителем фонограммы призна- ется физическое или юридическое лицо, имя или наименование кото- рого обозначено на этой фонограм- ме и(или) на содержащем ее футля- ре обычным образом Закон РФ от 09.07.93 №5351-1 «Об авторском праве и смежных правах», ст. 4
496
Приложение 10
Термин Определение Источник
Издатель Издательство, иное учреждение, предприятие (предприниматель), осуществляющее материально- техническое обеспечение произ- водства продукции средства мас- совой информации, а также при- равненное к издателю юридиче- ское лицо или гражданин, ддя которого эта деятельность не яв- ляется основной либо не служит главным источником дохода Закон РФ от 27.12.91 №2124-1 «О средствах массовой инфор- мации», ст. 2
Издательство Предприятие государственной формы собственности или органи- зация иной формы собственности, осуществляющие подготовку, производство и выпуск книжной и другой печатной продукции Федеральный за- кон от 01.12.95 №191-ФЗ «О государствен- ной поддержке средств массовой информации и книгоиздания Рос- сийской Федера- ции», ст. 1
Интегральная микросхема Это микроэлектронное изделие окончательной или промежуточ- ной формы, предназначенное ддя выполнения функций электронной схемы, элементы и связи которого нераздельно сформированы в объ- еме и (или) на поверхности мате- риала, на основе которого изго- товлено изделие Закон РФ от 23.09.92 №3526-1 «О правовой ох- ране топологии интегральных микросхем», cm. I
Интересы государства Незыблемость конституционного строя, суверенитета и территори- альной целостности России, поли- тическая, экономическая и социаль- ная» стабильность, безусловное обеспечение законности и поддер- жание правопорядка, развитие рав- ноправного и взаимовыгодного ме- ждународного сотрудничества Указ Президента РФ от 10января 2000 г. №24 «О концепции на- циональной безопасности»
457
Основы информационной безопасности
Термин Определение Источник
Интересы государства в информационной сфере Создание условий доя гармонич- ного развития российской инфор- мационной инфраструктуры, дая реализации конституционных прав и свобод человека и гражда- нина в области получения инфор- мации и пользования ею в целях обеспечения незыблемости кон- ституционного строя, суверените- та и территориальной целостности России, политической, экономиче- ской и социальной стабильности, в безусловном обеспечении закон- ности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества Доктрина инфор- мационной безо- пасности РФ, 2000 г.
Интересы личности Реализация конституционных прав и свобод, обеспечение лич- ной безопасности, повышение ка- чества и уровня жизни, физиче- ское, духовное и интеллектуаль- ное развитии человека и гражданина Указ Президента РФ от 10января 2000 г. №24 «О концепции на- циональной безопасности»
Интересы личности в информационной сфере Реализация конституционных прав человека и гражданина на доступ к информации, на исполь- зование информации в интересах осуществления не запрещенной законом деятельности, физическо- го, духовного и интеллектуально- го развития, а также зашита ин- формации, обеспечивающей лич- ную безопасность Доктрина инфор- мационной безо- пасности РФ, 2000 г.
Интересы общества Упрочение демократии, создание правового, социального государ- ства, достижение и поддержание общественного согласия, духовное обновление России Указ Президента РФ от 10января 2000 г. №24 «О концепции на- циональной безо- пасности»
458
Приложение 10
Термин Определение Источник
Интересы общества в информационной сфере Обеспечение интересов личности в этой сфере, упрочении демокра- тии, создании правового социаль- ного государства, достижении и поддержании общественного со- гласия, в духовном обновлении России Доктрина инфор- мационной безо- пасности РФ, 2000 г.
Информатизация Организационный социально- экономический и научно- технический процесс создания оп- тимальных условий для удовле- творения информационных по- требностей и реализации прав граждан, органов государственной власти, органов местного само- управления, организаций, общест- венных объединений на основе формирования и использования информационных ресурсов Федеральный за- кон от 20.02.95 № 24-ФЗ «Об ин- формации, ин- форматизации и защите информа- ции», ст. 2
Информационная безопасность Состояние защищенности инфор- мационной среды общества, обес- печивающее ее формирование, использование и развитие в инте- ресах граждан, организаций, госу- дарства Федеральный за- кон от 04.07.96 > 85-ФЗ «Обуча- стии в междуна- родном информа- ционном обмене», ст. 2
Информационная война Особый вид отношений между го- сударствами, при котором для разрешения существующих меж- государственных противоречий используются методы, средства и технологии силового воздействия на информационную сферу этих государств Концепция про- движения идеи формирования международной системы инфор- мационной безо- пасности. Про- ект, 1999 г.
Информационная система Организационно упорядоченная совокупность документов (масси- вов документов) и информацион- ных технологий, в том числе с ис- пользованием средств вычисли- тельной техники и связи, реализующих информационные процессы Федеральный за- кон от 20.02.95 №2-1-ФЗ«Об информации, ин- форматизации и защите информа- ции», ст. 2
Основы информационной безопасности
Термин Определение Источник
Информационная сфера Совокупность информации, ин- формационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общест- венных отношений Доктрина инфор- мационной безо- пасности РФ, 2000 г.
Информационная сфера (среда) Сфера деятельности субъектов, связанная с созданием, преобразо- ванием и потреблением информа- ции Федеральный за- кон от 04.07.96 № 85-ФЗ «Обуча- стии в междуна- родном информа- ционном обмене», ст. 2
Информационное агентство Организация, осуществляющая сбор и оперативное распростране- ние информации Федеральный за- кон от 01.12.95 №191-ФЗ «О государствен- ной поддержке средств массовой информации и книгоиздания Рос- сийской Федера- ции», cm. I
Инфор мационные программы [в сфере деятельности средств массовой информации] Ежедневные теле- и радиопро- граммы новостей, за исключением авторских информационно- аналитических программ Федеральный закон от 13.01.95 ЛЬ 7- ФЗ «О поряд- ке освещения деятельности ор- ганов государственной власти в государственных средствах массо- вой информации»,
Информационные продукты (продук- ция) Документированная информация, подготовленная в соответствии с потребностями пользователей и предназначенная или применяемая для удовлетворения потребностей пользователей Федеральный за- кон от 04.07.96 № 85-ФЗ «Об уча- стии в междуна- родном информа- ционном обмене», ст. 2
В»
Приложение 10
Термин Определение Источник
Информационные процессы Процессы сбора, обработки, нако- пления, хранения, поиска и рас- пространения информации Федеральный за- кон от 20.02.95 №24-ФЗ «Об ин- формации, ин- форматизации и защите информа- ции», ст. 2
Информационные процессы Процессы создания, сбора, обра- ботки, накопления, хранения, по- иска, распространения и потреб- ления информации Федеральный за- кон от 04.07.96 № 85-ФЗ «Обуча- стии в междуна- родном информа- ционном обмене», ст. 2
Информационные процессы Процессы создания, обработки, хранения, защиты от внутренних и внешних угроз, передачи, получе- ния, использования и уничтоже- ния информации ГОСТ Р 50922-96. Защита инфор- мации. Основные термины и опре- деления. (Прил.А)
Информационные ресурсы Отдельные документы и отдель- ные массивы документов, доку- менты и массивы документов в информационных системах (биб- лиотеках, архивах, фондах, банках данных, других информационных системах). Примечание. Государственные информационные ресурсы РФ яв- ляются открытыми и общедоступ- ными. Исключение составляет до- кументированная информация, отнесенная законом к категории ограниченного доступа. Правовой режим информационных ресурсов определяется нормами, устанав- ливающими: порядок документи- рования информации; право соб- ственности на отдельные доку- менты и отдельные массивы документов, документы и массивы документов в информационных системах; категорию информации по уровню доступа к ней; порядок правовой защиты информации Федеральный за- кон от 20.02.95 №24-ФЗ «Об ин- формации, инфор- матизации и за- щите информа- ции». Федеральный за- кон от 04.07.96 № 85-ФЗ «Обуча- стии в междуна- родном информа- ционном обмене», ст. 2
«64;
Основы информационной безопасности
Термин Определение Источник
Информационные услуги Действия субъектов (собственни- ков и владельцев) по обеспечению пользователей информационными продуктами Федеральный за- кон от 04.07.96 № 85-ФЗ «Об уча- стии в междуна- родном информа- ционном обмене», ст. 2
Информация Сведения о лицах, предметах, фак- тах, событиях, явлениях и процессах независимо от формы их представления Федеральный за- кон от 20.02.95 №24-ФЗ «Об ин- формации, ин- форматизации и защите информа- ции», ст. 2; ГОСТ Р 50922-96. Защита инфор- мации. Основные термины и опре- деления. (Прил.А)
Информация Свойство объекта уменьшать не- определенность процесса, измене- ния его состояния во времени БриллюэнЛ.. Наука и теория информации. М.,1958
Информация о гражданах (персональные данные) Сведения о фактах, событиях и обстоятельствах жизни граждани- на, позволяющие идентифициро- вать его личность. Персональные данные относятся к категории конфиденциальной информации. Не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных пе- реговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения Федеральный за- кон от 20.02.95 № 24-ФЗ «Об ин- формации, ин- форматизации и защите информа- ции», ст. 2, 11
Приложение 10
Термин Определение Источник
Информирование общественности о террористической акции Не допускается распространение информации: 1) раскрывающей специальные технические приемы и тактику проведения контртерро- ристической операции; 2) способ- ной затруднить проведение контр- террористической операции и соз- дать угрозу жизни и здоровью людей, оказавшихся в зоне прове- дения контртеррористической операции или находящихся за пределами указанной зоны; 3) служащей пропаганде или оп- равданию терроризма и экстре- мизма; 4) о сотрудниках специ- альных подразделений, членах оперативного штаба по управле- нию контртеррористической опе- рацией при ее проведении, а также о лицах, оказывающих содействие в проведении указанной операции Федеральный за- кон от 25.07.98 №130-Ф3«0 борьбе с терро- ризмом», ст. 15
Исключительные права автора на ис- пользование произ- ведения Право осуществлять или разре- шать следующие действия: вос- производить произведение (право на воспроизведение); распростра- нять экземпляры произведения любым способом: продавать, сда- вать в прокат и т. д. (право на рас- пространение); импортировать эк- земпляры произведения в целях распространения, включая экзем- пляры, изготовленные с разреше- ния обладателя исключительных авторских прав (право на импорт); публично показывать произведе- ние (право па публичный показ); публично исполнять произведение (право на публичное исполнение); сообщать произведение (включая показ, исполнение или передачу в эфир) ддя всеобщего сведения пу- тей передачи в эфир и(или) после- дующей передачи в эфир (право Закон РФ от 09.07.93 №5351-1 «Об авторском праве и смежных правах», ст. 16
463
Основы информационной безопасности
Термин Определение Источник
на передачу в эфир); сообщать произведение (включая показ, ис- полнение или передачу в эфир) дая всеобщего сведения по кабе- лю, проводам или с помощью иных аналогичных средств (право на сообщение дая всеобщего све- дения по кабелю); переводить произведение (право на перевод): переделывать, аранжировать или другим образом перерабатывать произведение (право на перера- ботку)
Исключительные права на результаты интеллектуальной деятельности (интеллектуальная собственность) Исключительные права на литера- турные, художественны и научные произведения, программы ддя электронно-вычислительных ма- шин и базы данных; смежные пра- ва; на изобретения, промышлен- ные образцы, полезные модели, а также приравненные к результа- там интеллектуальной деятельно- сти средства индивидуализации юридического лица (фирменные наименования, товарные знаки, знаки обслуживания) и другие ре- зультаты интеллектуальной дея- тельности и средства индивидуа- лизации, охрана которых преду- смотрена законом Федеральный за- кон от 13.10.95 №157-ФЗ«Ого- сударст венной охране», ст. 2
Исполнение [в области авторского права и смежных прав] Представление произведений, фо- нограмм, исполнении, постановок посредством игры, декламации, пения, танца в живом исполнении или с помощью технических средств (телерадиовещания, ка- бельного телевидения и иных тех- нических средств); показ кадров аудиовизуального произведения в их последовательности (с сопро- вождением или без сопровожде- ния звуком) Закон РФ от 09.07.93 №5351-1 «Об авторском праве и смежных правах», ст. 4
Приложение 10
Термин Определение Источник
Исполнитель Актер, певец, музыкант, танцор или иное лицо, которое играет роль, читает, декламирует, поет, играет на музыкальном инстру- менте или иным образом исполня- ет произведения литературы или искусства (в том числе эстрадный, цирковой или кукольный номер), а также режиссер-постановщик спектакля и дирижер Закон РФ от 09.07.93 №5351-1 «Об авторском праве и смежных правах», ст. 4
Использование в коммерческих целях Это продажа, сдача внаем или иной способ коммерческого рас- пространения, а также предложе- ние осуществлять эти действия Закон РФ от 23.09.92М3526-1 «О правовой ох- ране топологии интегральных микросхем», ст. 1
Использование программы дая ЭВМ или базы данных Это выпуск в свет, воспроизведе- ние, распространение и иные дей- ствия по их введению в хозяйст- венный оборот (в том числе в мо- дифицированной форме). Не признается использованием про- граммы для ЭВМ или базы дан- ных передача средствами массо- вой информации сообщений о выпущенной в свет программе для ЭВМ или базе данных Закон РФ от 23.09.92 №3523-1 «О правовой ох- ране программ для электронных вы- числительных машин и баз дан- ных», ст. 1
Источники угроз информационной безопасности РФ Внешние и внутренние. Внешние источники: деятельность иностранных политических, эко- номических, военных, разведыва- тельных и информационных структур, направленная против интересов РФ в информационной сфере; стремление ряда стран к доминированию и ущемлению ин- тересов России в мировом инфор- мационном пространстве, вытес- нению ее с внешнего и внутренне- го информационных рынков; обострение международной кон- куренции за обладание информа- ционными технологиями и ресур- Доктрина инфор- мационной безо- пасности РФ, 2000 г.
465
Основы информационной безопасности
Термин Определение Источник
сами; деятельность международ- ных террористических организа- ций; увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конку- рентоспособных российских ин- формационных технологий; дея- тельность космических, воздуш- ных, морских и наземных технических и иных средств (ви- дов) разведки иностранных госу- дарств; разработка рядом госу- дарств концепции информацион- ных войн, предусматривающих создание средств опасного воздей- ствия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуни- кационных систем, сохранности информационных ресурсов, полу- чение несанкционированного доступа к ним. Внутренние источники: критиче- ское состояние отечественных от- раслей промышленности; небла- гоприятная криминогенная обста- новка, сопровождающаяся тенденциями сращивания госу- дарственных и криминальных структур в информационной сфе- ре, получения криминальными структурами доступа к конфиден- циальной информации, усиления влияния организованной преступ- ности на жизнь общества, сниже- ния степени защищенности закон- ных интересов гралщан, общества и государства в информационной сфере; недостаточная координа- ция деятельности федеральных органов государственной власти, органов государственной власти субъектов РФ по формированию
466
Приложение 10
Термин Определение Источник
и реализации единой государст- венной политики в области обес- печения информационной безо- пасности РФ; недостаточная раз- работанность нормативной правовой базы, регулирующей от- ношения в информационной сфе- ре, а также недостаточная право- применительная практика; нераз- витость институтов гражданского общества и недостаточный госу- дарственный контроль за развити- ем информационного рынка Рос- сии; недостаточное финансирование мероприятий по обеспечению ин- формационной безопасности РФ; недостаточная экономическая мощь государства; снижение эф- фективности системы образования и воспитания, недостаточное ко- личество квалифицированных кадров в области обеспечения ин- формационной безопасности; не- достаточная активность федераль- ных органов государственной вла- сти, органов государственной власти субъектов РФ в информи- ровании общества о своей дея- тельности, в разъяснении прини- маемых решений, в формировании открытых государственных ресур- сов и развитии системы доступа к ним граждан; отставание России от ведущих стран мира по уровню информатизации федеральных ор- ганов государственной власти, ор- ганов государственной власти субъектов Российской Федерации и органов местного самоуправле- ния, кредитно-финансовой сферы, промышленности, сельского хо- зяйства, образования, здравоохра- нения, сферы услуг и быта граж- дан
467
Основы информационной безопасности
Термин Определение Источник
Категорирование защищаемой ин- формации (объекта зашиты) Установление градации важности защищаемой информации (объек- та защиты) ГОСТР 50922-96. Защита инфор- мации. Основные термины и опре- деления
Контроль организации защиты информации Проверка соответствия состояния организации, наличия и содержа- ния документов требованиям пра- вовых, организационно-распо- рядительных и нормативных до- кументов по защите информации ГОСТР 50922-96. Защита инфор- мации. Основные термины и опре- деления
Контроль состояния защиты информации Проверка соответствия состояния организации и эффективности за- щиты информации установленным требованиям и (или) нормам за- щиты информации ГОСТ Р 50922-96. Защита инфор- мации. Основные термины и опре- деления
Контроль эффективности защиты информации Проверка соответствия эффектив- ности мероприятий по защите ин- формации установленным требо- ваниям или нормам эффективно- сти защиты информации ГОСТ Р 50922-96. Защита инфор- мации. Основные термины и опре- деления
Конфиденциальная информация Документированная информация, доступ к которой ограничивается в соответствии с законодательст- вом РФ Федеральный за- кон от 20.02.95 № 24-ФЗ, ст. 2; Федеральный за- кон от 04.07 96 №85-ФЗ «Об уча- стии в междуна- родном информа- ционном обмене», ст. 2
Контрафактные экземпляры произведения и фонограммы Экземпляры произведения и фоно- граммы, изготовление или распро- странение которых влечет за собой нарушение авторских и смежных прав, а также экземпляры охраняе- мых в РФ в соответствии с настоя- щим Законом произведений и фоно- грамм, импортируемые без согласия обладателей авторских и смежных прав в РФ из государства, в котором эти произведения и фонограммы никогда не охранялись или переста- ли охраняться Закон РФ от 09.07.93 №5351-1 «Об авторском праве и смежных правах», ст. 48
1 [рмложеине IО
Термин Определение Источник
Контрразведыва- тельная деятель- ность Деятельность органов федеральной службы безопасности в пределах своих полномочий по выявлению, предупреждению, пресечению раз- ведывательной и иной деятельности специальных служб и организаций иностранных государств, а также отдельных лиц, направленной на нанесение ущерба безопасности РФ. Примечание. Основаниями для осуществления органами феде- ральной службы безопасности контрразведывательной деятель- ности являются... необходимость обеспечения защиты сведений, со- ставляющих государственную тайну. Осуществление контрраз- ведывательной деятельности,за- трагивающей тайну переписки, телефонных переговоров, почто- вых, телеграфных и иных сообще- ний граждан, допускается только на основании судебного решения Федеральный за- кон от 03.04.95 №40-ФЗ «Об органах Фе- деральной служ- бы безопасности в Российской Фе- дерации», ст. 9
Концепция нацио- нальной безопасно- сти РФ Система взглядов на обеспечение в РФ безопасности личности, обще- ства и государства от внешних и внутренних угроз во всех сферах жизнедеятельности. В Концепции сформулированы важнейшие на- правления государственной полити- ки РФ Указ Президента РФ от Юянваря 2000 г. №24 «О концепции нацио- нальной безопас- ности»
Корпоративная информационная система Информационная система, участ- никами которой может быть огра- ниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы Федеральный за- кон РФ от 10 ян- варя 2002 г. № 1-фЗ «Об электронной циф- ровой подписи»
Лицензия Разрешение (право) на осуществ- ление лицензируемого указанного вида деятельности при обязатель- ном соблюдении лицензионных требований и условий, выданное лицензирующим органом юриди- ческому лицу или индивидуаль- ному предпринимателю Федеральный закон от 25.09.98 № 158-ФЗ в редакции от 12.05.2000 № 69-ФЗ
469
Основы информационной безопасности
Термин Определение Источник
Лицензия [в области связи] Документ, устанавливающий пол- номочия физических и юридиче- ских лиц в соответствии с Феде- ральным законом «О связи» и иными правовыми актами для осуществления деятельности в об- ласти связи Федеральный за- кон от 16.02.95 № 15-ФЗ «О свя- зи», ст. 2
Лицензия [в сфере предоставления услуг связи] Документ, дающий право на пре- доставление услуг связи, выдан- ный Министерством связи РФ в установленном порядке в соот- ветствии со статьей 15 Федераль- ного закона «О связи» Правила присое- динения ведомст- венных и выделен- ных сетей, элек- тросвязи к сети электросвязи об- щего пользования, утвержденные постановлением Правительства РФ от 19.10.96 № 1254, ст. 2
Лицензия [в области зашиты государст- венной тайны и ин- формации] Лицензия является официальным документом, который разрешает осуществление на определенных условиях конкретного вида дея- тельности в течение установлен- ного срока Положение о ли- цензировании деятельности предприятий, учреждений и ор- ганизаций по про- ведению работ, связанных с ис- пользованием све- дений, состав- ляющих государ- ственную тайну, созданием средств защиты информации, а также с осуще- ствлением меро- приятий и (или) оказанием услуг по защите госу- дарственной тайны, утвер- жденное поста- новлением РФ от 15.04.95 №>333, п. 1
470
Приложение 10
Термин Определение Источник
Массовая информация Предназначенные для неограни- ченного круга лиц печатные, ау- дио-, аудиовизуальные и иные со- общения и материалы Закон РФ от 27.12.91 №>2124-1 «О средствах массовой инфор- мации», ст. 2; Федеральный за- кон от 01.12.95 №> 191-ФЗ «О го- су дарст венной поддержке средств массовой информации и книгоиздания Рос- сийской Федера- ции», ст. 1; Федеральный за- кон от 04.07.96 №> 8 5-ФЗ «Обуча- стии в междуна- родном информа- ционном обмене», ст. 2
Матрица доступа Таблица, отображающая правила разграничения доступа Сборник руково- дящих докумен- тов по защите информации от несанкциониро- ванного доступа Государственной технической ко- миссии при Пре- зиденте РФ, 1998 г.
Межведомственная комиссия по защите государственной тайны Коллегиальный орган, координи- рующий деятельность органов го- сударственной власти по защите государственной тайны в интере- сах разработки и выполнения го- сударственных программ, норма- тивных и методических докумен- тов, обеспечивающих реализацию законодательства РФ о государст- венной тайне Закон РФ от 21.07.93 №>5485-1 «О государствен- ной тайне» в ред. Федерального за- кона от 06.10.97 №> 131-ФЗ, ст. 20
471
Основы информационной безопасности
Термин Определение Источник
Международная почтовая связь Обмен почтовыми отправлениями меаду организациями почтовой связи, находящимися под юрис- дикцией разных государств Федеральный за- кон от 17.07.99 Ш76-ФЗ «О почтовой свя- зи», ст. 2
Междунар о дный информационный обмен Передача и получение информа- ционных продуктов, а также ока- зание информационных услуг че- рез Г осударственную границу РФ Федеральный за- кон от 04.07.96 №85-ФЗ «Обуча- стии в междуна- родном информа- ционном обмене», ст. 2
Мероприятие по защите информации Совокупность действий по разра- ботке и (или) практическому при- менению способов и средств за- щиты информации ГОСТ Р 50922-96. Защита инфор- мации. Основные термины и опре- деления
Мероприятие по контролю эффек- тивности защиты информации Совокупность действий по разра- ботке и (или) практическому при- менению методов (способов) и средств контроля эффективности защиты информации ГОСТ Р 50922-96. Защита инфор- мации. Основные термины и опре- деления
Метка конфиденци- альности Элемент информации, который характеризует конфиденциаль- ность информации, содержащейся в объекте Сборник руково- дящих докумен- тов по защите информации от несанкциониро- ванного доступа Государственной технической ко- миссии при Пре- зиденте РФ, 1998г.
Метод (способ) контроля эффективности защиты информации Порядок и правила применения определенных принципов и средств контроля эффективности защиты информации ГОСТ Р 50922-96. Защита инфор- мации. Основные термины и опре- деления
472
Приложение 10
Термин Определение Источник
Многоуровневая защита Защита, обеспечивающая разгра- ничение доступа субъектов с раз- личными правами доступа к объ- ектам различных уровней конфи- денциальности Сборник руково- дящих докумен- тов по защите информации от несанкциониро- ванного доступа Госу дарственной технической ко- миссии при Пре- зиденте РФ, 1998 г.
Модель защиты Абстрактное (формализованное или неформализованное) описание комплекса программно- технических средств и (или) орга- низационных мер защиты от не- санкционированного доступа Сборник руково- дящих докумен- тов по защите информации от несанкциониро- ванного доступа Госу дарственной технической ко- миссии при Пре- зиденте РФ, 1998 г.
Модификация (переработка) программы дая ЭВМ или базы данных Это любые их изменения, не яв- ляющиеся адаптацией Закон РФ от 23.09.92№3523-1 «О правовой ох- ране программ для электронных вы- числительных машин и баз дан- ных», ст. 1
Нарушение правил обязательной сертификации Реализация сертифицированной продукции, не отвечающей требо- ваниям нормативных документов, на соответствие которым она сер- тифицирована, либо реализация сертифицированной продукции без сертификата соответствия, или без знака соответствия, или без указания в сопроводительной тех- нической документации сведений о сертификации или о норматив- ных документах, которым должна соответствовать указанная про- Кодекс РСФСР об административ- ных правонаруше- ниях от 20. Об. 84, ст. 170 (в ред. Федерального за- кона от 19.06.95 №89-ФЗ,ст. 1)
м-да,
свежо
:(
Основы информационной безопасности
Термин Определение Источник
дукция либо недоведение этих сведений до потребителя (покупа- теля, заказчика), а равно представ- ление недостоверных результатов испытаний продукции или не- обоснованная выдача сертификата соответствия на продукцию, под- лежащую обязательной сертифи- кации
Национальная безопасность РФ Безопасность ее многонациональ- ного народа как носителя сувере- нитета и единственного источника власти в РФ Указ Президента РФ от 17.12.97 № 1300 (вред. Указа Президен- та РФ от 10.01.2000 №>24 «О концепции на- циональной безо- пасности»)
Национальное центральное бюро Интерпола Подразделение криминальной ми- лиции, входящее в состав цен- трального аппарата Министерства внутренних дел РФ, имеющее ста- тус главного управления, является органом по сотрудничеству пра- воохранительных и иных государ- ственных органов РФ с правоох- ранительными органами ино- странных государств-членов Международной организации уго- ловной полиции - Интерпола (да- лее именуется - Интерпол) и Ге- неральным секретариатом Интер- пола Положение, ут- вержденное по- становлением Правительства РФ от 14.10.96 №1190, п. 1
Национальные интересы России Совокупность сбалансированных интересов личности, общества и государства в экономической, внутриполитической, социальной, международной, информацион- ной, военной, пограничной, эколо- гической и других сферах. Они носят долгосрочный характер и определяют основные цели, стра- тегические и текущие задачи Указ Президента РФ от 17.12.97 № 1300 (вред. Указа Президен- та РФ от 10.01.2000 №24 «О концепции на- циональной безо- пасности»)
474
Приложение 10
Термин Определение Источник
внутренней и внешней политики государства. Национальные инте- ресы обеспечиваются институтами государственной власти, осущест- вляющими свои функции в том числе во взаимодействии с дейст- вующими на основе Конституции РФ и законодательства РФ обще- ственными организациями
Национальные интересы РФ в информационной сфере Заключаются в соблюдении кон- ституционных прав и свобод гра- ждан в области получения инфор- мации и пользования ею, в разви- тии современных телекоммуникационных техноло- гий, в защите государственных информационных ресурсов от не- санкционированного доступа Указ Президента РФ от 17.12.97 № 1300 (вред. Указа Президен- та РФ от 10.01.2000№24 «О концепции на- циональной безо- пасности»)
Национальные интересы РФ в информационной сфере: ... Соблюдение конституционных прав и свобод человека и гражда- нина в области получения инфор- мации и пользования ею, обеспе- чение духовного обновления Рос- сии, сохранение и укрепление нравственных ценностей общест- ва, традиций патриотизма и гума- низма, культурного и научного потенциала страны. ... Информационное обеспечение государственной политики Рос- сийской Федерация, связанное с доведением до российской и меж- дународной общественности дос- товерной информации о государ- ственной политике РФ, ее офици- альной позиции по социально значимым событиям российской и международной жизни, с обеспе- чением доступа граждан к откры- тым государственным информа- ционным ресурсам. ... Развитие современных ин фор- Доктрина инфор- мационной безо- пасности РФ, 2000 г.
475
Основы информационной безопасности
Термин Определение Источник
мационных технологий, отечест- венной индустрии информации, в том числе индустрии средств ин- форматизации, телекоммуникации и связи, обеспечение потребно- стей внутреннего рынка ее про- дукцией и выход этой продукции на мировой рынок, а также обес- печение накопления, сохранности и эффективного использования отечественных информационных ресурсов. ... Защита информационных ре- сурсов от несанкционированного доступа, обеспечение безопасно- сти информационных и телеком- муникационных систем, как уже развернутых, так и создаваемых на территории России.
Национальный библиотечно- информационный фонд РФ Собрание всех видов обязательно- го экземпляра, комплектуемое на основе обязательного бесплатного экземпляра, распределяемое меж- ду книжными палатами, библио- теками, органами научно-техни- ческой информации, предназна- ченное дая постоянного хранения и общественного использования Федеральный за- кон от 29.12.94 № 77-ФЗ «Об обя- зательном экзем- пляре докумен- тов», cm. I
Негосударственная часть Архивного фонда РФ Архивные фонды и архивные до- кументы, находящиеся в собст- венности общественных объеди- нений и организаций, а также с момента отделения церкви от го- сударства - в собственности рели- гиозных объединений и организа- ций, действующих на территории РФ, или в частной собственности и представляющие собой истори- ческую, научную, социальную, экономическую, политическую или культурную ценность Основы законо- дательства РФ об Архивном фон- де РФ и архивах от 07.07.93 №5341-1, ст. 6
476
Приложение 10
Термин Определение Источник
Ненадлежащая реклама Недобросовестная, недостоверная, неэтичная, заведомо ложная и иная реклама, в которой допуще- ны нарушения требований к ее со- держанию, времени, месту и спо- собу распространения, установ- ленных законодательство РФ Федеральный за- кон от 18.07.95 М108-ФЗ «О рекламе», ст. 2
Несанкционирован- ный доступ к ин- формации Доступ к информации, нарушаю- щий установленные правила ее получения ГОСТР 50922-96. Защита инфор- мации. Основные термины и опре- деления
Нормы эффективно- сти защиты инфор- мации Значения показателей эффектив- ности защиты информации, уста- новленные нормативными доку- ментами ГОСТР 50922-96. Защита инфор- мации. Основные термины и опре- деления
Носитель информации Физическое лицо, или материаль- ный объектов том числе физиче- ское поле, в которых информация находит свое отображение в виде символов, образов, сигналов, тех- нических решений и процессов ГОСТР 50922-96. Защита инфор- мации. Основные термины и опре- деления. (Прил.А)
Носитель сведений, составляющих госу- дарственную тайну Материальные объекты, в том числе физические поля, в которых сведения, составляющие государ- ственную тайну, находят свое отображение в виде символов, об- разов, сигналов, технических ре- шений и процессов. Примечание. Реквизиты носителей сведений, составляющих государ- ственную тайну, включают сле- дующие данные: о степени сек- ретности содержащихся в носите- ле сведений со ссылкой на соответствующий пункт дейст- вующего в данном органе госу- дарственной власти, на данном предприятии, в данных учрелще- нии и организации перечня сведе- ний, подлежащих засекречива- нию; об органе государственной власти, о предприятии, об учреж- Закон РФ от 21.07.93 №5-185-1 «О государствен- ной тайне» в ред. Федерального за- кона от 06.10.97 № 131-ФЗ, ст. 2, 12
477
Основы информационной безопасности
Термин Определение Источник
дении, организации, осуществив- ших засекречивание носителя; о регистрационном номере; о дате или условий рассекречивания све- дений либо о событии, после на- ступления которого сведения бу- дут рассекречены
Обеспечение безопасности Проведение единой государствен- ной политики в области обеспече- ния безопасности, применение системы мер экономического, по- литического, организационного и иного характера, адекватных угро- зам жизненно важным интересам личности, общества и государства Закон РФ от 05.03.92 №2446-1 «О безопасно- сти», ст. 4
Обеспечение информационной безопасности РФ Важнейшими задачами обеспече- ния информационной безопасно- сти РФ являются: реализация кон- ституционных прав и свобод гра- ждан РФ в сфере информационной деятельности; совершенствование и защита отечественной информа- ционной инфраструктуры, инте- грация России в мировое инфор- мационное пространство; проти- водействие угрозе развязывания противоборства в информацион- ной сфере. Указ Президента РФ от 10января 2000 г. №24 «О концепции нацио- нальной безопас- ности»
Обнародование произведения Осуществленное с согласия автора действие, которое впервые делает произведение доступным дая все- общего сведения путем его опуб- ликования, публичного показа, публичного исполнения, передачи в эфире или иным способом Закон РФ от 09.07.93№5331-1 «Об авторском праве и смежных правах», ст. 4
Общедоступная библиотека Библиотека, которая предоставля- ет возможность пользования ее фондом и услугами юридическим лицам независимо от их организационно-правовых форм и форм собственности и гражданам без ограничений по уровню образования, специальности, отношению к религии Федеральный за- кон от 29.12.94 №78-ФЗ «О биб- лиотечном деле», cm. I
478
Приложение 10
Термин Определение Источник
Общедоступная информация на рынке ценных бумаг Информация, не требующая при- вилегий для доступа к ней или подлежащая раскрытию в соответ- ствии с настоящим Федеральным законом Федеральный за- кон от 22.04.96 № 39-ФЗ «Орын- ке ценных бумаг», ст. 30
Объект доступа Единица информационного ресур- са автоматизированной системы, доступ к которой регламентирует- ся правилами разграничения дос- тупа Сборник руково- дящих докумен- тов по защите информации от несанкциониро- ванного доступа Госу дарственной технической ко- миссии при Пре- зиденте РФ, 1998 г.
Объект защиты Информация или носитель ин- формации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной це- лью защиты информации ГОСТР 50922-96. Защита инфор- мации. Основные термины и опре- деления
Объект почтовой связи Обособленные подразделения орга- низаций почтовой связи (почтамты, прижелезнодорожные почтамты; отделения перевозки почты при же- лезнодорожных станциях и аэро- портах, узлы почтовой связи), а также их структурные подразделе- ния (почтовые обменные пункты, отделения почтовой связи, пункты почтовой связи и другие) Федеральный за- кон от 09.08.9S № 129-ФЗ «О почтовой свя- зи», ст. 1
Объективная форма произведений Письменная (рукопись, машино- пись, нотная запись и так далее); устная (публичное произнесение, публичное исполнение и так да- лее); звуко- или видеозапись (ме- ханическая, магнитная, цифровая, оптическая и так далее); изобра- жение (рисунок, эскиз, картина, план, чертеж, кино-, теле-, видео- или фотокадр и так далее); объем- но-пространственная (скульптура, модель, макету сооружение и так далее); другие формы Закон РФ от 09.07.93 №5351-1 «Об авторском праве и смежных правах», ст. 6
Основы информационной безопасности
Термин Определение Источник
Обязательный бесплатный местный экземпляр [документов] Экземпляры различных видов из- готовленных на территории горо- да, района документов, которые подлежат безвозмездной передаче их производителями в соответст- вующие учрелщения и организа- ции в порядке и количестве, уста- новленных настоящим Федераль- ным законом Федеральный за- кон от 29.12.94 ,\Ь 77-ФЗ«Обобя- зательном экзем- пляре докумен- тов», ст. 1
Обязательный бесплатный федеральный экземпляр [документов] Экземпляры различных видов до- кументов, изготовленных на тер- ритории РФ, за ее пределами по заказу предприятий, учрелщений, организаций и отдельных лиц, на- ходящихся в ведении РФ, а также документов, импортируемых ддя общественного распространения на территории РФ, которые под- лежат безвозмездной передаче их производителями в соответст- вующие учрелщения и организа- ции в порядке и количестве, уста- новленных настоящим Федераль- ным законом Федеральный за- кон от 29.12.94 № 77-ФЗ«Обобя- зательном экзем- пляре докумен- тов», ст. 1
Обязательный бесплатный экземпляр [документов] Экземпляры различных видов до- кументов, подлежащие безвоз- мездной передаче их производи- телями в соответствующие учреж- дения и организации в порядке и количестве, установленных на- стоящим Федеральным законом Федеральный за- кон от 29.12.94 № 77-ФЗ «Обобя- зательном экзем- пляре докумен- тов», cm. I
Обязательный платный экземпляр [документов] Экземпляры различных видов до- кументов, подлежащие передаче за плазу их производителями в со- ответствующие учрелщения и ор- ганизации в порядке и количестве, установленных настоящим феде- ральным законом Федеральный за- кон от 29.12.94 № 77-ФЗ«Обобя- зательном экзем- пляре докумен- тов», ст. 1
Обязательный экземпляр документов Экземпляры различных видов ти- ражированных документов, под- лежащие передаче производите- лями в соответствующие учреж- дения и организации в порядке и количестве, установленных на- стоящим Федеральным законом Федеральный за- кон от 29.12.94 № 77-ФЗ«Обобя- зательном экзем- пляре докумен- тов», ст. 1
480
Приложение 10
Термин Определение Источник
Обязательный эк- земпляр субъекта РФ [при формирова- нии обязательного экземпляра доку- ментов] Экземпляры различных видов из- готовленных на территориях субъектов РФ документов, кото- рые подлежат передаче их произ- водителями в соответствующие учрелщения и организации в по- рядке и количестве, установлен- ных настоящим Федеральным за- коном Федеральный за- кон от 29.12.94 №77-ФЗ «Об обя- зательном экзем- пляре докумен- тов», ст. 1
Ограничения прав должностного лица или гражданина, до- пущенных или ранее допускавшихся к го- сударственной тай- не, могут касаться: Права выезда за границу на срок, оговоренный в трудовом договоре (контракте) при оформлении до- пуска гражданина к государствен- ной тайне; права на распростране- ние сведений, составляющих го- сударственную тайну, и на использование открытий и изо- бретений, содержащих такие све- дения; права на неприкосновен- ность частной жизни при проведе- нии проверочных мероприятий в период оформления допуска к го- сударственной тайне Закон РФ от 21.07.93 №5485-1 «О государствен- ной тайне», ст. 24
Оперативно- розыскные мероприятия Контроль почтовых отправлений, телеграфных и иных сообщений. Прослушивание телефонных пере- говоров. Снятие информации с техниче- ских каналов связи. Примечание. Оперативно-розыск- ные мероприятия, связанные с контролем почтовых отправлений, телеграфных и иных сообщений, прослушиванием телефонных пе- реговоров с подключением к станционной аппаратуре предпри- ятий, учрелщений и организаций независимо от форм собственно- сти, физических и юридических лиц, предоставляющих услуги и средства связи, со снятием ин- формации с технических каналов связи, проводятся с использовани- Федеральный за- кон от 12.08.95 №144-ФЗ «Об оперативно- розыскной дея- тельности», ст. 9, 10, 11 (вредакции феде- ральных законов от 18.07.97 № 101-ФЗ, 21.07.98№117- ФЗ, 105.01.99 №б-ФЗ,ЗО.12.99 №22 5-ФЗ)
481
Основы информационной безопасности
Термин Определение Источник
ем оперативно-технических сил и средств органов федеральной службы безопасности и органов внутренних дел и в пределах сво- их полномочий, федеральных ор- ганов налоговой полиции в поряд- ке определенном межведомствен- ными нормативными актами или соглашениями между органами, осуществляющими оперативно- розыскную деятельность. Проведение оперативно- розыскных мероприятий, которые ограничивают конституционные права человека и гражданина на тайну переписки, телефонных пе- реговоров, почтовых, телеграфных и иных сообщений, передаваемых по сетям электрической и почто- вой связи, а также право на непри- косновенность жилища, допуска- ется на основании судебного ре- шения и при наличии информации: о признаках подго- тавливаемого, совершаемого или совершенного противоправного деяния, по которому производство предварительного следствия обя- зательно; о лицах, подготавли- вающих, совершающих или со- вершивших противоправное дея- ние, по которому производство предварительного следствия обя- зательно; о событиях или действи- ях, создающих угрозу государственной, военной, экономической или экологической безопасности РФ
Оператор связи [электрической или почтовой] Физическое или юридическое ли- цо, имеющее право на предостав- ление услуг электрической или почтовой связи Федеральный за- кон от 16.02.95 №15-ФЗ «О свя- зи», ст. 2
482
Приложение 1 О
Термин Определение Источник
Опубликование (выпуск в свет) Выпуск в обращение экземпляров произведения, фонограммы с со- гласия автора произведения, про- изводителя фонограммы в количе- стве, достаточном для удовлетво- рения разумных потребностей публики исходя из характера про- изведения, фонограммы Закон РФ от 09.07.93 №5351-1 «Об авторском праве и смежных правах», ст. 4
Орган защиты ин- формации Административный орган, осуще- ствляющий организацию защиты информации. ГОСТР 50922-96. Защита инфор- мации. Основные термины и опре- деления. (Прил. А)
Организации почтовой связи Юридические лица независимо от их организационно-правовых форм, оказывающие услуги поч- товой связи в качестве основного вида деятельности Федеральный закон от 17.07.99 №>176-ФЗ «О почтовой свя- зи», ст. 2
Организации теле-, радиовещания (теле- радиовещательная компания - ТМС) Организация, осуществляющая производство, монтаж, расстанов- ку во времени и распространение с использованием электромагнит- ных волн (по эфирным, кабель- ным, проводным и иным электро- магнитным системам) звуковой (радиовещание), визуальной и ау- диовизуальной (телевещание) массовой информации и данных, предназначенных для получения непосредственно телезрителями и радиослушателями Федеральный за- кон от 01.12.95 № 191-ФЗ «О го- сударственной поддержке средств массовой информации и книгоиздания Рос- сийской Федера- ции», cm. I
Организационный контроль эффектив- ности защиты ин- формации Проверка полноты и обоснованно- сти мероприятий по защите ин- формации требованиям норматив- ных документов по защите ин- формации ГОСТР 50922-96. Защита инфор- мации. Основные термины и опре- деления
Организация защиты информации Содержание и порядок действий по обеспечению защиты инфор- мации ГОСТ Р 50922-96. Защита инфор- мации. Основные термины и опре- деления
483
Основы информационной безопасности
Термин Определение Источник
Органы внешней разведки РФ... 6) Организуют и обеспечивают в пределах своей компетенции за- щиту государственной тайны в учреждениях РФ, находящихся за пределами территории РФ, вклю- чая определение порядка осуще- ствления физической и инженер- но-технической защиты указан- ных учрелщений, мероприятия по предотвращению утечки по тех- ническим каналам сведений, со- ставляющих государственную тай- ну... 8) обеспечивают безопасность ко- мандированных за пределы РФ гралщан РФ, имеющих по роду своей деятельности допуск к све- дениям, составляющим государст- венную тайну, и находящихся с ними членов их семей... 11) обеспечивают собственную безопасность, т. е. защиту своих сил, средств и информации от противоправных действий и угроз. Федеральный за- кон от 10.01.96 № 5-ФЗ «О внеш- ней разведке», ст. 6
Органы защиты государственной тайны Межведомственная комиссия по защите государственной тайны; органы федеральной исполни- тельной власти (Федеральная служба безопасности РФ, Мини- стерство обороны РФ, Федераль- ное агентство правительственной связи и информации при Прези- денте РФ), Служба внешней раз- ведки РФ, Государственная тех- ническая комиссия при Президен- те РФ и их органы на местах; органы государственной власти, предприятия, учреждения и орга- низации и их структурные подраз- деления по защите государствен- ной тайны Закон РФ от 21.07.93 №5485-1 «О государствен- ной тайн» в ред, от06.10.97№ 131- ФЗ, ст. 20
484
Приложение I О
Термин Определение Источник
Органы правоохра- нительные Государственные органы, основ- ной функцией которых является охрана законности и правопоряд- ка, борьбы с преступностью: суд, прокуратура, органы внутренних дел, контрразведки, таможенного контроля, налоговой полиции, юс- тиции, арбитража. В широком смысле данное понятие включает также государственно- общественные (субсидируемые государством) органы самодея- тельности населения. Федеральная про- грамма, утвер- жденная Указом Президента РФ от 24.05.91 №1016
Органы федеральной службы безопасности к) Участвовать в разработке и реа- лизации мер по защите сведений, составляющих государственную тайну; осуществлять контроль за обеспечением сохранности сведе- ний, составляющих государствен- ную тайну, в государственных ор- ганах, воинских формированиях, на предприятиях, в учреждениях и организациях независимо от форм собственности; в установленном порядке осуществлять меры, свя- занные с допуском гралщан к све- дениям, составляющим государст- венную тайну Федеральный за- кон от 03.01.95 №40-ФЗ «Об ор- ганах Федераль- ной службы безо- пасности «Рос- сийский Федерации», ст. 12
Оригинальная топология Топология, созданная в результате творческой деятельности автора. Топология признается оригиналь- ной до тех пор, пока не доказано обратное Закон РФ от 23.09.92№3526-1 «О правовой ох- ране топологии интегральных микросхем», ст. 3
Основания для отка- за должностному лицу или граждани- ну в допуске к госу- дарственной тайне Признание его судом недееспо- собным, ограниченно дееспособ- ным или рецидивистом, нахолще- ние его под судом или следствием за государственные и иные тяжкие преступления, наличие у него не- снятой судимости за эти преступ- ления; наличие у него медицин- ских противопоказаний для рабо- Закон РФ от 21.07.93 №5485-1 «О государствен- ной тайне» в ред, от 06.10.97 №131-Ф3.ст. 22
485
Основы информационной безопасности
Термин Определение Источник
ты с использованием сведений, составляющих государственную тайну, согласно перечню, утвер- ждаемому Министерством здраво- охранения РФ; постоянное прожи- вание его самого и (или) его близ- ких родственников за границей и (или) оформление указанными ли- цами документов для выезда на постоянное жительство в другие государства, выявление в резуль- тате проверочных мероприятий действий оформляемого лица, создающих угрозу безопасности РФ; уклонение его от провероч- ных мероприятий и (или) сообще- ние им заведомо ложных анкет- ных данных
Основной субъект обеспечения безопасности Государство, осуществляющее функции в этой области через ор- ганы законодательной, исполни- тельной и судебной властей Закон РФ от 05.03.92№2446-1 «О безопасности»
Основные объекты безопасности Личность - ее права и свободы; общество - его материальные и духовные ценности; государство - его конституционный строй, суве- ренитет и территориальная цело- стность Закон РФ от 05.03.92 №2446-1 «О безопасно- сти», ст. 1
Открытый ключ электронной цифровой подписи Уникальная последовательность символов, соответствующая за- крытому ключу электронной циф- ровой подписи, доступная любому пользователю информационной системы и предназначенная дая подтверждения с использованием средств электронной цифровой подписи подлинности электрон- ной цифровой подписи в элек- тронном документе Федеральный за- кон РФ от 10 ян- варя 2002 г. № 1-ФЗ «Об электронной циф- ровой подписи»
Отнесение сведений к государственной тайне и их засекре- чивание Введение в предусмотренном на- стоящим Законом порядке для сведений, составляющих государ- ственную тайну, ограничений на Закон РФ от 21.07.93 №5485-1 «О государствен- ной тайне» вред.
486
Приложение 10
Термин Определение Источник
их распространение и на доступ к их носителям. Обоснованность отнесения сведе- ний к государственной тайне и их засекречивания - установление путем экспертной оценки целесо- образности засекречивания кон- кретных сведений, вероятных эко- номических и иных последствий этого акта исходя из баланса жиз- ненно важных интересов государ- ства, общества и граждан. Своевременность отнесения све- дений к государственной тайне и их засекречивания - установление ограничений на распространение этих сведений с момента их полу- чения (разработки) или заблаго- временно Федерального за- кона от 06.10.97 №131-Ф3,ст. б
Пароль Идентификатор субъекта доступа, который является его (субъекта) секретом Сборник руково- дящих докумен- тов по защите информации от несанкциониро- ванного доступа Государственной технической ко- миссии при Пре- зиденте РФ, 1998г.
Передача в эфир Сообщение произведений, фоно- грамм, исполнений, постановок, передач организаций эфирного или кабельного вещания ддя все- общего сведения (включая показ или исполнение) посредством их передачи по радио или телевиде- нию (за исключением кабельного телевидения). При передаче про- изведений, фонограмм, исполне- ний, постановок, передач органи- заций эфирного или кабельного вещания в эфир через спутник под Закон РФ от 09.07.93М5351-1 «Об авторском праве и смежных правах», ст. 4
487
Основы информационной безопасности
Термин Определение Источник
передачей в эфир понимается при- ем сигналов с наземной станции на спутники передача сигналов со спутника, посредством которых произведения, фонограммы, ис- полнения, постановки, передачи организаций эфирного или ка- бельного вещания могут быть до- ведены до всеобщего, сведения независимо от фактического приема их публикой
Передача организа- ции эфирного или кабельного вешания Передача, созданная самой орга- низацией эфирного или кабельно- го вещания, а также по ее заказу за счет ее средств другой организа- цией Закон РФ от 09.07.93 №5351-1 «Об авторском праве и смежных правах, ст. 4
Передающий центр (ПЦ) Радиотелевизионные передающие центры (РТПЦ), радиоцентры (РЦ) и иные организации электросвязи, предоставляющие в том числе ус- луги по распространению теле- и (или) радиопрограмм, подготов- ленных организациями теле-, ра- диовещания Федеральный за- коном 01.12.95 № 191-ФЗ «О го- сударственной поддержке средств массовой информации и книгоиздания Рос- сийской Федера- ции», cm. I
Периодическое печатное издание Газета, журнал, альманах, бюлле- тень иное издание, имеющее по- стоянное название, текущий номер и выходящее в свет не реже одно- го раза в год Закон РФ от 27.12.91 №2124-1 «О средствах массовой инфор- мации», ст. 2; Федеральный за- кон от 01.12.95 № 191-ФЗ «О го- сударственной поддержке средств массовой информации и книгоиздания Рос- сийской Федера- ции», ст. 1
Персональные данные Информация о гражданах (персо- нальные данные)
488
Приложение 10
Термин Определение Источник
Письменная корреспонденция Простые и регистрируемые пись- ма, почтовые карточки, секограм- мы, бандероли и мелкие пакеты Федеральный за- кон от/7.07.99 №176-ФЗ«0 почтовой связи», ст. 2
Подтверждение подлинности электронной цифровой подписи в электронном документе Положительный результат про- верки соответствующим сертифи- цированным средством электрон- ной подписи с использованием сертификата ключа подписи при- надлежности электронной цифро- вой подписи в электронном доку- менте владельцу сертификата ключа подписи и отсутствия ис- кажений в подписанном данной электронной цифровой подписью электронном документе Федеральный за- кон РФ от 10 ян- варя 2002 г. № 1- ФЗ «Об элек- тронной цифро- вой подписи»
Показ произведения Демонстрация оригинала или эк- земпляра произведения непосред- ственно или на экране с помощью пленки, диапозитива, телевизион- ного кадра или иных технических средств, а также демонстрация от- дельных кадров аудиовизуального произведения без соблюдения их последовательности Закон РФ от 09.07.93 №5351-1 «Об авторском правей смежных правах», ст. 4
Показ фильма Публичная демонстрация фильма, осуществляемая в кинозале, по эфирному, кабельному, спутнико- вому телевидению и другими тех- ническими способами Федеральный за- кон от 22.08.96 №126-ФЗ «О го- сударственной поддержке кине- матографии Рос- сийской Федера- ции», ст. 3
Получатель документов Юридическое лицо, наделенное правом получения, хранения и об- щественного использования обяза- тельного экземпляра на безвозмезд- ной или возмездной основе Федеральный за- кон от 29.12.94 № 77-ФЗ«Обобя- зательном экзем- пляре докумен- тов», ст. 1
489
Основы информационной безопасности
Термин Определение Источник
Пользователь сертификата ключа подписи Физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи дая проверки при- надлежности электронной цифро- вой подписи владельцу сертифи- ката ключа подписи; информаци- онная система общего пользования - информационная система, которая открыта дая ис- пользования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано Федеральный за- кон РФ от 10 ян- варя 2002 г. № 1- ФЗ «Об элек- тронной цифро- вой подписи»
Пользователь библиотеки Физическое или юридическое ли- цо, пользующееся услугами биб- лиотеки Федеральный за- кон от 29.12.94 №78-ФЗ«О биб- лиотечном деле», cm. I
Пользователь (потребитель) информации Субъект, пользующийся инфор- мацией, полученной от ее собст- венника, владельца или посредни- ка в соответствии с установлен- ными правами и правилами доступа к информации либо с их нарушением ГОСТ Р 50922-96. Защита инфор- мации. Основные термины и опре- деления. (Прил.А)
Пользователь (потребитель) информации Субъект, обращающийся к ин- формационной системе или по- среднику за получением необхо- димой ему информации и поль- зующийся ею Федеральный за- кон от 20.02.95 №24-ФЗ «Об ин- формации, ин- форматизации и защите информа- ции», ст. 2
Пользователь (по- требитель) инфор- мации, средств меж- дународного инфор- мационного обмена Субъект, обращающийся к собст- веннику или владельцу за «полу- чением необходимых ему инфор- мационных продуктов или воз- можности использования средств международного информационно- го обмена и пользующийся ими Федеральный за- кон от 04.07.96 №85-ФЗ«Обуча- стии в междуна- родном информа- ционном обмене», ст. 2
490
Приложение К)
Термин Определение Источник
Пользователь связи Физические и юридические лица, являющиеся потребителями услуг связи Федеральный за- кон от 16.02.95 №15-ФЗ «О свя- зи», ст. 2
Последующая передача в эфир Последующая передача в эфир ра- нее переданных в эфир произве- дений, фонограмм, исполнений, постановок, передач организаций эфирного или кабельного вещания Закон РФ от 09.07.93 №5351-1 «Об авторском праве и смежных правах», ст. 4
Потребитель услуг телеграфной связи Учреждения, организации и пред- приятия, независимо от формы собственности, их объединения и физические лица, которым была предоставлена услуга телеграфной связи, а также которые обратились или имеют намерение обратиться с целью получить услугу теле- графной связи Правила, утвер- жденные поста- новлением Пра- вительства РФ от 23.04.94 №374. п. 3 (утр. сипу от 28.08.97 №1108)
Почтовая связь Прием, обработка, перевозка и доставка почтовых отправлений, а также перевод денежных средств Федеральный за- кон от 16.02.95 №15-ФЗ«О свя- зи», ст. 2
Почтовая связь Прием, обработка, перевозка и доставка почтовых отправлений, а также почтовых и телеграфных переводов денежных средств Федеральный за- кон от 17.07.99 №176-ФЗ«0 почтовой связи», ст. 2 (утр. силу)
Почтовая связь Вид связи, представляющий собой единый производственно- технологический комплекс техни- ческих и транспортных средств, обеспечивающий прием, обработ- ку, перевозку, доставку (вручение) почтовых отправлений, а также осуществление почтовых перево- дов денежных средств Федеральный за- кон от 17.07.99 №17б-ФЗ«0 почтовой связи», ст. 2
Почтовая связь общего пользования Составная часть единой почтовой связи РФ, которая открыта ддя пользования всем гражданам (фи- зическим лицам) и юридическим лицам и в услугах которой этим лицам не может быть отказано Федеральный за- кон от 0908.95 №129-ФЗ«О почтовой связи», ст. 1. (Утр. силу от 17.07.99 №17б-ФЗ«0 почтовой связи»)
491
Основы информационной безопасности
Термин Определение Источник
Почтовые отправления Адресованные письменная кор- респонденция, прямые почтовые контейнеры Федеральный за- кон от 16.02.95 №15-ФЗ «О свя- зи», ст. 1
Почтовые отправления Местные и иногородние письма и почтовые карточки, бандероли и мелкие пакеты, посылки, почто- вые контейнеры, печатные изда- ния в соответствующей упаковке Федеральный за- кон от 09.08.95 №129-ФЗ«0 почтовой связи», ст. 1. (Утр. силу от 17.07.99 №176-ФЗ«0 почтовой связи»)
Правила доступа к информации Совокупность правил, регламен- тирующих порядок и условия дос- ГОСТР 50922-96. Защита инфор- мации. Основные термины и опре- деления. (Прил.А)
Правила разграничения доступа ©sgbf^ws, !fi '1Wiим #£ права доступа субъек- тов доступа к объектам доступа Сборник руково- дящих докумен- тов по защите информации от несанкциониро- ванного доступа Государственной технической ко- миссии при Пре- зиденте РФ, 1998г.
Право доступа к информации Совокупность правил доступа к информации, установленных пра- вовыми документами или собст- венником, владельцем информа- ции ГОСТР 50922-96. Защита инфор- мации. Основные термины и опре- деления. (Прил.А)
Предприятия, учреждения и организации связи Юридические лица независимо от форм собственности, предостав- ляющие услуги электрической или почтовой связи физическим и юридическим лицам в качестве основного лица деятельности Федеральный за- кон от 16.02.95 №15-ФЗ «О свя- зи», ст. 2
«3
Приложение 10
Термин Определение Источник
Пресс-конференция, интервью [при веде- нии предвыборной агитации] Не являющиеся политической рекламой обращения кандидата (кандидатов), их доверенных лиц, представителя (представителей) избирательных объединений к из- бирателям с изложением собст- венной предвыборной программы (платформы), сообщения, сделан- ные в ходе встречи с журналистом (журналистами). Положение, ут- вержденное Ука- зом Президента РФ от 29.10.93 №1792. И. 2
Принципы обеспечения безопасности Законность; соблюдение баланса жизненно важных интересов лич- ности, общества и государства; взаимная ответственность лично- сти, общества и государства по обеспечению безопасности; инте- грация с международными систе- мами безопасности Закон РФ от 05.03.92№2446-1 «0 безопасно- сти», ст. 5
Программа дая ЭВМ Объективная форма представле- ния совокупности данных и ко- манд, предназначенных дая функ- ционирования электронных вы- числительных машин (ЭВМ) и других компьютерных устройств с целью получения определенного результата. Под программой Для ЭВМ подразумеваются также под- готовительные материалы, полу- ченные в ходе ее разработки, и порождаемые ею аудиовизуаль- ные отображения Закон РФ от 23.09.92№3523-1 «0 правовой ох- ране программ для электронных вы- числительных машин и баз дан- ных», ст. 1
Программа дая ЭВМ Объективная фирма представле- ния совокупности данных и ко- манд, предназначенных ддя функ- ционирования ЭВМ и других ком- пьютерных устройств с целью получения определенного резуль- тата, включая подготовительные материалы, полученные в ходе разработки программы ддя ЭВМ, и порождаемые ею аудиовизуаль- ные отображения Закон РФ от 09.07.93 №5351-1 «Об авторском праве и смежных правах», ст. 4
493
Основы информационной безопасности
Термин Определение Источник
Программа интерактивного типа («мультимедиа») доя ЭВМ Программа доя всех видов персо- нальных ЭВМ (в том числе доя телевизионных игровых компью- терных приставок), основанная на диалоговом (интерактивном) взаимодействии пользователя с ЭВМ Прил. № 1 к по- становлению Пра- вительства РФ от J 7.05.96 № 614. п. 2
Производитель документов Юридическое лицо независимо от его организационно-правовой формы и формы собственности, производящее, публикующее и распространяющее различные ви- ды обязательных экземпляров Федеральный за- кон от 29.12.94 № 77-ФЗ «Об обя- зательном экзем- пляре докумен- тов», ст. 1
Пропускной режим [на охраняемых объектах] Порядок прохода лиц, проезда транспортных средств, проноса и провоза вещей на охраняемые объекты, устанавливаемый, соот- ветствующими лицами, заме- щающими государственные долж- ности в федеральных органах го- сударственной власти, совместно с федеральными органами государ- ственной охраны Федеральный за- кон от 27.05.96 № 5 7-ФЗ«О го- сударственной охране», cm. I
Публичный показ, публичное исполне- ние или сообщение доя всеобщего све- дения Любые показ, исполнение или со- общение произведений, фоно- грамм, исполнении, постановок, передач организаций эфирного или кабельного вещания непо- средственно либо с помощью тех- нических средств в месте, откры- том доя свободного посещения, или в месте, где присутствует зна- чительное число лиц, не принад- лежащих к обычному кругу семьи, независимо от того, воспринима- ются ли произведения, фонограм- мы, исполнения, постановки, пе- редачи организаций эфирного или кабельного вещания в месте их сообщения или в другом месте одновременно с сообщением про- изведений, фонограмм, исполне- ний, постановок, передач органи- заций эфирного или кабельного вещания Закон РФ от 09.07.93 №5351-1 «Об авторском праве и смежных правах», ст. 4
494
Приложение I О
Термин Определение Источник
Радио-, теле-, видео-, кинохроникальная программа Совокупность периодических ау- дио-, аудиовизуальных сообщений и материалов (передач), имеющая постоянное название и выходящая в свет (эфир) не реже одного раза в год Закон РФ от 27.12.91 №>2124-1 «О средствах массовой инфор- мации», ст. 2; Федеральный за- кон от 01.12.95 > 191-ФЗ «О го- сударственной поддержке средств массовой информации и книгоиздания Рос- сийской Федера- ции», ст. 1
Радиоэлектронные средства Технические средства, состоящие из одного или нескольких радио- передающих или радиоприемных устройств или их комбинации и вспомогательного оборудования, предназначенные для передачи и приема радиоволн Кодекс РСФСР об администрат ив- ных правонаруше- ниях от 20.06.84, ст. 137 (вред. Федерального за- кона от 06.08.96 №я 108-ФЗ «Орек- ламе», ст. 1); Особые условия утвержденные постановлением Правительства РФ от 17.07.96 №>832, п. 2
Радиоэлектронные средства Радиостанции, радиотелефоны, системы радионавигации, радио- определения, системы кабельного телевидения и другие устройства, при работе которых используются электромагнитные колебания с частотами выше 9 кГц Особые условия приобретения ра- диоэлектронных средств и высоко- качественных устройств, ут- вержденные по- становлением Правительства РФ от 17.07.96 > 832, п. 2
495
Основы информационной безопасности
Термин Определение Источник
Разведывательная деятельность Деятельность, которая осуществ- ляется органами внешней развед- ки РФ посредством добывания и обработки информации о затраги- вающих жизненно важные инте- ресы РФ реальных и потенциаль- ных возможностях, действиях, планах и намерениях иностранных государств, организаций и лиц, а также оказание содействия в реа- лизаций мер, осуществляемых го- сударством в интересах обеспече- ния безопасности РФ Федеральный за- коном 10.01.96 № 5-ФЗ «0 внеги- ней разведке», ст. 2
Разведывательная информация Информация о затрагивающих жизненно важные интересы РФ реальных и потенциальных воз- можностях, действиях, планах и намерениях иностранных госу- дарств, организаций и лиц Федеральный за- кон от 10.01.96 № 5-ФЗ «0 внеш- ней разведке», и. 1 см. 2
Разглашение государственной тайны Разглашение сведений, состав- ляющих государственную тайну, лицом, которому она была дове- рена или стала известна по служб» или работе, если эти сведения ста- ли достоянием других лиц, при отсутствии признаке] государст- венной измены Уголовный кодекс РФ от 13.06.96 №63-Ф3,ст. 283
Распространение программы доя ЭВМ или базы данных Предоставление доступа к вос- произведенной в любой матери- альной форме программе ддя ЭВМ или базе данных, в том числе се- тевыми и иными способами, а также путем продажи, проката, сдачи внаем, Предоставления взаймы, включая импорт доя лю- бой из этих целей Закон РФ от 23:09.92№3523-1 «0 правовой ох- ране Программ для электронных вычислительных машин и баз дан- ных», ст. 1
Распространение продукции средства массовой информации Продажа (подписка, доставка, раз- дача) периодических печатных из- даний, аудио- или видеозаписей программ, трансляция радио-, те- лепрограмм (вещание), демонст- рация кинохроникальных про- грамм Закон РФ от 27.1291 №212-1- 1 «0 средствах массовой инфор- мации», ст. 2. Федеральный за- кон от 01.12.95
496
Приложение 10
Термин Определение Источник
> 191-ФЗ «О го- сударственной поддержке средств массовой информации и книгоиздания Рос- сийской Федера- ции», cm. I
Распространитель [средств массовой информации] Лицо, осуществляющее распро- странение продукции средства массовой информации по догово- ру с редакцией, издателем или на иных законных основаниях Закон РФ от 27.12.91 №>2124-1 «О средствах массовой инфор- мации», ст. 2
Распространитель периодических печатных изданий по подписке Юридическое лицо или индивиду- альный предприниматель, оказы- вающее по договору с редакцией, издателем или на иных законных основаниях услуги по доставке (раздаче) комплектов периодиче- ских печатных изданий в течение определенного договором периода времени Правила, утвер- жденные поста- новлением Пра- вительства РФ от 14.03.95 №2250, п. 4 (утр. силу с 01.01.98)
Рассекречивание сведений и их носителей Снятие ранее введенных в преду- смотренном настоящим Законом порядке ограничений на распро- странение сведений, составляю- щих государственную тайну, и на доступ к их носителям Закон РФ от 21.07.93 №25485-1 «О государствен- ной тайне» вред. Федерального за- кона от 06.10.97 №я 131-ФЗ, ст. 13
Редакция средства массовой информации Организация, учреждение, пред- приятие либо гражданин, объеди- нение граждан, осуществляющие производство и выпуск средства массовой информации Закон РФ от 27.12.91 №22124-1 «О средствах массовой инфор- мации», ст. 2
Редакция средства массовой информации Организация (независимо от фор- мы собственности), осуществ- ляющая производство и выпуск средства массовой информации Федеральный за- кон от 01.12.95 №2 191-ФЗ «О го- сударственной поддержке средств массовой информации и книгоиздания Рос- сийской Федера- ции», cm. I
497
Основы информационной безопасности
Термин Определение Источник
Реклама Распространяемая в любой форме, с помощью любых средств ин- формация о физическом или юри- дическом лице, товарах, идеях и начинаниях (рекламная информа- ция), которая предназначена дая неопределенного круга лиц и при- звана формировать или поддержи- вать интерес к этим физическому, юридическому лицу, товарам, идеям и начинаниям и способст- вовать реализации товаров, идей и начинаний Федеральный за- коном 18.07.95 М108-ФЗ «О рек- ламе», ст. 2
Репродуцирование (репрографическое воспроизведение) Факсимильное воспроизведение в любых размере и форме одного или более экземпляров оригина- лов или копий письменных и дру- гих графических произведений путем фотокопирования или с по- мощью других технических средств, иных, чем издание; ре- прографическое воспроизведение не включает в себя хранение или воспроизведение указанных копий в электронной (включая цифро- вую), оптической или иной маши- ночитаемой форме Закон РФ от 09.07.93 №5351-1 «Об авторском праве и смежных правах», ст. 4
Сведения, не подлежащие отнесению к государственной тайне и засекречиванию: О чрезвычайных происшествиях и катастрофах, угрожающих безо- пасности и здоровью граящан, и их последствиях, а также о сти- хийных бедствиях, их официаль- ных прогнозах и последствиях; о состоянии экологии, здраво- охранения, санитарии, демогра- фии, образования, культуры, сель- ского хозяйства, а также о состоя- нии преступности; о привилегиях, компенсациях и льготах, предоставляемых госу- дарством гралщанам, должност- ным лицам, предприятиям, учреж- дениям и организациям; Закон РФ от 21.07.93 №5485-1 «О государствен- ной тайне» вред. Федерального за- кона от 06.10,97 № 131-ФЗ, ст. 7
498
Приложение 10
Термин Определение Источник
о фактах нарушения прав и свобод человека и гражданина; о размерах золотого запаса и госу- дарственных валютных резервах РФ, о состоянии здоровья высших должностных лиц РФ; о фактах нарушения законности органами государственной власти и их должностными лицами.
Сведения, относящиеся к государственной тайне; перечень сведений, составляющих государственную тайну Совокупность категорий сведе- ний, в соответствии с которыми Сведения относятся к государст- венной тайне и засекречиваются на основаниях и в порядке, уста- новленных Федеральным законо- дательством. Примечание. Государственную тайну составляют: 1) сведения в военной области: о содержании стратегических и оперативных планов, документов боевого управления по подготовке и проведению операций, стратеги- ческому, оперативному и мобили- зационному развертыванию Воо- руженных Сил РФ, других войск, воинских формирований и орга- нов, предусмотренных Федераль- ным законом «Об обороне», об их боевой и мобилизационной готов- ности, о создании и об использо- вании мобилизационных ресурсов, о планах строительства Воору- женных Сил РФ, других войск РФ, о направлениях развития воору- жения и военной техники, о со- держании и результатах выполне- ния целевых программ, научно- исследовательских и опытно- конструкторских работ по созда- нию и модернизации образцов вооружения и военной техники; о разработке, технологии, произ- Закон РФ от 21.07.93 №5485-1 «О государствен- ной тайне» в ред. Федерального за- кона от 06.10.97 М131-ФЗ, ст. 2, 5
499
Оснбвы информационной безопасности
Термин Определение Источник
водстве, об объемах производства, о хранении, об утилизации ядер- ных боеприпасов, Их составных частей, делящихся ядерных мате- риалов, используемых в ядерных боеприпасах, о технических сред- ствах и (или) методах защиты ядерных боеприпасов от несанк- ционированного применения, а также о ядерных энергетических и специальных физических установ- ках оборонного значения; о тактико-технических характери- стиках и возможностях боевого применения образцов вооружения и военной техники, о свойствах, рецептурах или технологиях про- изводства новых видов ракетного топлива или взрывчатых веществ военного назначения; о дислока- ции, назначении, степени готовно- сти, защищенности режимных и особо важных объектов, об их проектировании, строительстве и эксплуатации, а также об отводе земель, недр и акваторий для этих объектов; о дислокации, действие тельных наименованиях, об орга- низационной структуре, о воору- жении, численности Войск и со- стоянии их боевого обеспечения, а также о военно-политической и (или) оперативной обстановке; 2) сведения в области экономики, науки и техники: о содержании планов подготовки РФ и ее от- дельных регионов к возможным военным действиям, о мобилиза- ционных мощностях промышлен- ности по изготовлению и ремонту вооружения и военной техники, об объемах производства, поставок, о запасах стратегических видов сы- рья и материалов, а также о раз-
500
Приложение IО
Термин Определение Источник
мещении, фактических размерах и об использовании государствен- ных материальных резервов; об использовании инфраструкту- ры РФ в целях обеспечения обо- роноспособности и безопасности государства,; о силах и средствах гражданской обороны, о дислока- ции, предназначении и степени защищенности объектов админи- стративного управления, о степе- ни обеспечения безопасности на- селения, о функционировании транспорта и связи в РФ в целях обеспечения безопасности госу- дарства; об объемах, о планах (за- даниях) государственного оборон- ного заказа, о выпуске и поставках (в денежном или натуральном вы- ражении) вооружения, военной техники и другой оборонной про- дукции, 0 наличии и наращивании мощностей по их выпуску, о свя- зях предприятий по кооперации, о разработчиках или об изготовите- лях указанных вооружения, воен- ной техники и другой оборонной продукции; о достижениях науки и техники, о научно-исследовательских, об опытно-конструкторских, о про- ектных работах и технологиях, имеющих важное оборонное или экономическое значение, влияю- щих на безопасность государства; об объемах запасов, добычи, пере- дачи и потребления платины, ме- таллов платиновой группы, при- родных алмазов, а также об объе- мах других стратегических видов полезных ископаемых РФ (по спи- ску, определяемому Правительст- вом РФ);
501
Основы информационной безопасности
Термин Определение Источник
3) сведения в области внешней политики и экономики: о внешне- политической, внешнеэкономиче- ской деятельности РФ, прежде- временное распространение кото- рых может нанести ущерб безопасности государства; о фи- нансовой политике в отношении иностранных государств (за ис- ключением обобщенных показате- лей по внешней задолженности), а также о финансовой или денеж- но-кредитной деятельности, преж- девременное распространение ко- торых может нанести ущерб безо- пасности государства; 4) сведения в области разведыва- тельной, контрразведывательной и оперативно-розыскной деятель- ности: о силах, средствах, об ис- точниках, о методах, планах и ре- зультатах разведывательной, контрразведывательной и опера- тивно-розыскной деятельности, а также данные о финансировании этой деятельности, если эти дан- ные раскрывают перечисленные сведения; о лицах, сотрудничаю- щих или сотрудничавших на кон- фиденциальной основе с органа- ми, осуществляющими разведыва- тельную, контрразведывательную и оперативно-розыскную деятель- ность; об организации, о силах, средствах и методах обеспечения безопасности объектов государст- венной охраны, а также данные о финансировании этой деятельно- сти, если эти данные раскрывают перечисленные сведения; о системе президентской, прави- тельственной, шифрованной, в том числе кодированной и засек- реченной связи, о шифрах, о раз-
502
Приложение 10
Термин Определение Источник
работке, об изготовлении шифров и обеспечении ими, о методах и средствах анализа шифровальных средств и средств специальной защиты, об информационно- аналитических системах специ- ального назначения; о методах и средствах зашиты секретной ин- формации; об организации и о фактическом состоянии защиты государственной тайны; о защите Государственной границы РФ, ис- ключительной экономической зо- ны и континентального шельфа РФ; о расходах федерального бюджета, связанных с обеспече- нием обороны, безопасности госу- дарства и правоохранительной деятельности в РФ; о подготовке кадров, раскрывающие мероприя- тия, проводимые в целях обеспе- чения безопасности государства
Сдавать в прокат (внаем) (в области авторского права) Предоставлять экземпляр произ- ведения или фонограммы во вре- менное пользование в целях из- влечения прямой или косвенной коммерческой выгод Закон РФ от 09.07.93 №5331-1 «Об авторском праве и смежных правах», ст. 4
Сертификат [в сфере оказания услуг связи] Документ, подтверждающий, что надлежащим образом идентифи- цированные оборудование или ус- луга связи соответствуют требо- ваниям нормативных документов Федеральный за- кон от 16.02.95 №15-ФЗ «О свя- зи», ст. 2
Сертификат соответствия Документ, выданный по правилам системы сертификации ддя под- тверждения соответствия серти- фицированной продукции уста- новленным требованиям Закон РФ от 10.06.93№5151-1 «О сертификации продукции иус- луг», ст. 6
Сертификат средств электронной цифро- вой подписи Документ на бумажном носителе, выданный в соответствии с прави- лами системы сертификации ддя подтверждения соответствия средств электронной цифровой подписи установленным требова- Федералън ый за- кон РФ от 10 ян- варя 2002 г. №1-ФЗ«Об электронной циф- ровой подписи»
503
Основы информационной безопасности
Термин Определение Источник
ниям; закрытый ключ электронной цифровой подписи - уникальная последовательность символов, из- вестная владельцу сертификата ключа подписи и предназначенная для создания в электронных доку- ментах электронной цифровой подписи с использованием средств электронной цифровой подписи
Сертификат ключа подписи Документ на бумажном носителе или электронный документ с элек- тронной цифровой подписью упол- номоченного лица удостоверяюще- го центра, которые включают в себя открытый ключ электронной циф- ровой подписи и которые выдаются удостоверяющим центром участни- ку информационной системы д ля подтверждения подаинности элек- тронной цифровой подписи и иден- тификации владельца сертификата ключа подписи Федеральный закон РФ от 10 января 2002 г. ЛЬ 1-ФЗ «Об электронной цифровой подпи- си»
Сеть почтовой связи Совокупность объектов почтовой связи и почтовых маршрутов Федеральный закон от 17.07.99 Ш76-ФЗ «О почтовой свя- зи», ст. 2
Сеть связи общего пользования Составная часть взаимоувязанной сети связи РФ, открытая для поль- зования всем физическим и юриди- ческим лицам, в услугах которой этим лицам не может быть отказано Федеральный закон от 16.02.95 ЛЬ 15-ФЗ «О связи», ст. 2
Сеть электросвязи Технологические системы, обес- печивающие один или несколько видов передач: телефонную, теле- графную, факсимильную, переда- чу данных и других видов доку- ментальных сообщений, включая обмен информацией между ЭВМ, телевизионное, звуковое и иные виды радио- проводного вещания Федеральный за- кон от 16.02.95 № 15-ФЗ «О свя- зи», ст. 2
504
Приложение 10
Термин Определение Источник
Силы обеспечения безопасности Вооруженные Силы, федеральные органы безопасности, органы внутренних дел, внешней развед- ки, обеспечения безопасности ор- ганов законодательной, исполни- тельной, судебной властей и их высших должностных лиц, нало- говой службы, службы ликвида- ции последствий чрезвычайных ситуаций, формирования граждан- ской обороны, пограничные вой- ска, внутренние войска; органы, обеспечивающие безопасное веде- ние работ в промышленности, энергетике, на транспорте и в сельском хозяйстве; службы обес- печения безопасности средств свя- зи и информации, таможни, при- родоохранные органы, органы ох- раны здоровья населения и другие государственные органы обеспе- чения безопасности Закон РФ от 05.03.92№2446-1 «О безопасно- сти», ст. 12
Система безопасности Органы законодательной, испол- нительной и судебной властей, го- сударственные, общественные и иные организации и объединения, граждане, принимающие участие в обеспечении безопасности в соот- ветствии с законом, а также зако- нодательство, регламентирующее отношения в сфере безопасности Федеральный за- кон от 05.03.92 №2446-1 «О безопасности», ст. 8
Система защиты государств енной тайны Совокупность органов защиты го- сударственной тайны, используе- мых ими средств и методов защи- ты сведений, составляющих госу- дарственную тайну, и их носителей, а также мероприятий, проводимых в этих целях Закон РФ от 21.07.93 №5485-1 «О государствен- ной тайне» в ред. Федерального за- кона от 06.10.97 № 131-ФЗ, ст. 2
505
Основы информационной безопасности
Термин Определение Источник
Система защиты информации Совокупность органов и (или) ис- полнителей, используемая ими техника защиты информации, а также объекты защиты, организо- ванные и функционирующие по правилам, установленным соот- ветствующими правовыми, орга- низационно-распорядительными и нормативными документами по защите информации ГОСТ Р 30922-96. «Защита инфор- мации. Основные термины и опре- деления»
Система обеспече- ния информацион- ной безопасности РФ Часть системы обеспечения на- циональной безопасности страны. Основными элементами организа- ционной основы системы обеспе- чения информационной безопас- ности РФ являются: Президент РФ, Совет Федерации Федераль- ного Собрания РФ, Государствен- ная Дума Федерального Собрания РФ, Правительство РФ, Совет Безопасности РФ, федеральные органы исполнительной власти, межведомственные и государст- венные комиссии, создаваемые Президентом РФ и Правительст- вом РФ, органы исполнительной власти субъектов РФ, органы ме- стного самоуправления, органы судебной власти, общественные объединения, граждане, прини- мающие в соответствии с законо- дательством РФ участие в реше- нии задач обеспечения информа- ционной безопасности РФ. Президент РФ - руководит ... ор- ганами и силами по обеспечению информационной безопасности РФ; санкционирует действия по обеспечению информационной безопасности РФ; ... формирует, реорганизует и упраздняет подчи- ненные ему органы и силы по обеспечению информационной Доктрина инфор- мационной безо- пасности РФ, 2000 г.
506
Приложение 10
Термин Определение Источник
безопасности РФ; определяет в своих ежегодных посланиях Фе- деральному Собранию приоритет- ные направления государственной политики в области обеспечения информационной безопасности РФ, а также меры по реализации настоящей Доктрины Палаты Федерального Собрания РФ - ...формируют законодатель- ную базу в области обеспечения информационной безопасности РФ. Правительство РФ - ... координи- рует деятельность федеральных Органов исполнительной власти и органов исполнительной власти субъектов РФ, а также при фор- мировании... проектов федераль- ного бюджета на соответствую- щие годы предусматривает выде- ление средств, необходимых доя реализации федеральных про- грамм в этой области. Совет Безопасности РФ - прово- дит работу по выявлению и оценке угроз информационной безопас- ности РФ, оперативно подготав- ливает проекты решений Прези- дента РФ по предотвращению та- ких угроз, разрабатывает предложения в области обеспече- ния информационной безопасно- сти РФ, а также предложения по уточнению отдельных положений настоящей Доктрины, координи- рует деятельность органов и сил по обеспечению информационной безопасности РФ, контролирует реализацию федеральными орга- нами исполнительной власти и ор- ганами исполнительной власти субъектов РФ решений Президен- та РФ в этой области.
507
Основы информационной безопасности
Термин Определение Источник
Федеральные органы исполни- тельной власти - обеспечивают исполнение законодательства РФ, решений Президента РФ и Прави- тельства РФ в области обеспече- ния информационной безопасно- сти РФ; ... разрабатывают норма- тивные правовые акты в этой области ... Межведомственные и государст- венные комиссии Федерации - ре- шают ... задачи обеспечения инфор- мационной безопасности РФ. Органы исполнительной власти субъектов РФ - взаимодействуют с федеральными органами испол- нительной власти по вопросам ис- полнения законодательства РФ, решений Президента РФ и Прави- тельства РФ в области обеспече- ния информационной безопасно- сти РФ, а также по вопросам реа- лизации федеральных программ в этой области; совместно с органа- ми местного самоуправления осу- ществляют мероприятия по при- влечению граждан, организаций и общественных объединений к ока- занию содействия в решении про- блем обеспечения информацион- ной безопасности РФ; вносят в федеральные органы исполни- тельной власти предложения по совершенствованию системы обеспечения информационной безопасности РФ. Органы местного самоуправления - обеспечивают соблюдение зако- нодательства РФ в области обес- печения информационной безо- пасности РФ. Органы судебной власти - осуще- ствляют правосудие по делам о преступлениях, связанных с нося-
508
Приложение 10
Термин Определение Источник
гательствами на законные интере- сы личности, общества и государ- ства в информационной сфере, и обеспечивают судебную защиту граждан и общественных объеди- нений, чьи права были нарушены в связи с деятельностью по обес- печению информационной безо- пасности РФ
Система обеспечения национальной безопасности РФ Органы, силы и средства обеспе- чения национальной безопасно- сти, осуществляющие меры поли- тического, правового, организаци- онного, экономического, военного и иного характера, направленные на обеспечение безопасности лич- ности, общества и государства Указ Президента РФ от 10января 2000 г. №24 «О концепции на- циональной безопасности»
Система обязательного экземпляра Совокупность видов обязательных экземпляров, а также установлен- ный порядок их собирания, рас- пределения и использования Федеральный за- кон от 29.12.94 №77-ФЗ «Об обя- зательном экзем- пляре докумен- тов», ст. 1
Система разграничения доступа Совокупность реализуемых пра- вил разграничения доступа в сред- ствах вычислительной техники или автоматизированных системах Сборник руково- дящих докумен- тов по защите информации от несанкциониро- ванного доступа Государственной технической ко- миссии при Пре- зиденте РФ, 1998г.
Система сертификации средств защиты информации Совокупность участников серти- фикации, осуществляющих ее на основании требований государст- венных стандартов, нормативных документов, утверждаемых Пра- вительством РФ и федеральными органами по сертификации в пре- делах их компетенции Постановление Правительства РФот 26.06.95 №608
Основы информационной безопасности
Термин Определение Источник
Служба внешней разведки РФ Орган внешней разведки, который может при собственных лицензи- ровании и сертификации приобре- тать, разрабатывать (за исключе- нием криптографических средств защиты), создавать, эксплуатиро- вать информационные системы, системы связи и системы передачи данных, а также средства зашиты информации от утечки по техни- ческим каналам. Служба внешней разведки РФ в пределах своих полномочий осуществляет разве- дывательную деятельность в по- литической, экономической, воен- но-стратегической, научно- технической и экологической сфе- рах, а также в сфере обеспечения безопасности учреждений РФ, граждан РФ, имеющих по роду своей деятельности допуск к све- дениям, составляющим государст- венную тайну Федеральный за- кон от 10.01.96 № 5-ФЗ «О внеш- ней разведке», п. 12, ст. бип. 1 ст. 11
Служебная информация Любая не являющаяся общедос- тупной информация об эмитенте и выпущенных им эмиссионных ценных бумагах, которая ставит лиц, обладающих в силу своего служебного положения, трудовых обязанностей или договора, за- ключенного с эмитентом, такой информацией, в преимуществен- ное положение по сравнению с другими субъектами рынка цен- ных бумаг Федеральный за- колот 22.04.96 №39-Ф3 «Орын- ке ценных бумаг», ст. 31
Служебная информация ограниченного распространения Несекретная информация, касаю- щаяся деятельности организаций, ограничения на распространение которой диктуются служебной не- обходимостью. Постановление Правительства РФот 03.11.94 № 1233
Приложение 10
Термин Определение Источник
Служебная или коммерческая тайна Информация составляет служеб- ную или коммерческую тайну в случае, когда информация имеет действительную или потенциаль- ную коммерческую ценность в си- лу неизвестности ее третьим ли- цам, к ней нет свободного доступа на законном основании и облада- тель информации принимает меры, к охране ее конфиденциальности. Сведения, которые не могут со- ставлять служебную или коммер- ческую тайну, определяются зако- ном и иными правовыми актами Гражданский ко- декс РФ от 3.11.94 №31-Ф3 «Гражданский кодекс Российской Федерации», ст. 139
Служебное произве- дение Произведение, созданное в поряд- ке выполнения служебных обя- занностей или служебного задания Закон РФ от 09.07.93 №5351-1 «Об авторском праве и смежных правах», ст. 14
Служебный подлог Внесение должностным лицом, а также государственным служа- щим или служащим органа мест- ного самоуправления, не являю- щимся должностным лицом, в официальные документы заведомо ложных сведений, а равно внесе- ние в указанные документы ис- правлений, искажающих их дейст- вительное содержание, если эти деяния совершены из корыстной или иной личной заинтересован- ности Уголовный кодекс РФ от 13.06.96 М63-ФЗ, ст. 32
Смежные права [совокупность правовых норм], регулирующих отношение, возни- кающие в связи с созданием и ис- пользованием фонограмм, испол- нений, постановок, передач, орга- низации эфирного или кабельного вещания (смежные права) Федеральный за- кон от 09.07.93 № 535 ]-1 (в ред, от 19.07.95 №110-ФЗ)
511
Основы информационной безопасности
Термин Определение Источник
Собственник доку- ментированной ин- формации, информа- ционных ресурсов, информационных продуктов и(или) средств междуна- родного информа- ционного обмена Субъект, реализующий полномо- чия владения, пользования, распо- ряжения указанными объектами в объеме, устанавливаемом законом Федеральный за- кон от 04.07.96 .'Т85-Ф'{ «Обуча- стии в междуна- родном информа- ционном обмене», ст. 2
Собственник ин- формации Субъект, в полном объеме реали- зующий полномочия владения, пользования, распоряжения ин- формацией в соответствии с зако- нодательными актами ГОСТ Р 50922-96. Защита инфор- мации. Основные термины и опре- деления. (Прил.А)
Собственник ин- формационных ре- сурсов, информаци- онных систем, тех- нологий и средств их обеспечения Субъект, в полном объеме реали- зующий полномочия владения, пользования, распоряжения ука- занными объектами Федеральный за- кон от 20.02.95 N9 24-03 «Об ин- формации, ин- форматизации и защите информа- ции», ст. 2
Совет Безопасности РФ Конституционный орган, осуще- ствляющий подготовку решений Президента РФ в области обеспе- чения безопасности, рассматри- вающий вопросы внутренней и внешней политики РФ в области обеспечения безопасности, страте- гические проблемы государствен- ной, экономической, обществен- ной, оборонной, информационной, экологической и иных видов безо- пасности, охраны здоровья насе- ления, прогнозирования, предот- вращения чрезвычайных ситуаций и преодоления их последствий, обеспечения стабильности и пра- вопорядка Закон РФ от 05.03.92 №2-146-1 «О безопасно- сти», ст. 13
Совет Безопасности РФ Проводит работу по упреждаю- щему выявлению и оценке угроз национальной безопасности РФ, оперативно готовит доя Президен- та РФ проекты решений по их Указ Президента РФ от 10января 2000 г. №24 «О концепции нацио- нальной безопас-
Приложение 10
Термин Определение Источник
предотвращению, разрабатывает предложения в области обеспече- ния национальной безопасности РФ, а также предложения по уточ- нению отдельных положений Концепции национальной безо- пасности РФ, координирует дея- тельность сил и останов обеспече- ния национальной безопасности, контролирует реализацию феде- ральными органами исполнитель- ной власти и органами исполни- тельной власти субъектов РФ ре- шений в этой области носпги»
Совет Безопасности РФ Конституционный орган, осуществ- ляющий подготовку решений Пре- зидента РФ по вопросам обеспече- ния защищенности жизненно важ- ных интересов личности, общества и государства от внутренних и внешних угроз, проведения единой государственной политики в облас- ти обеспечения безопасности Положение, ут- вержденное Ука- зом Президента РФ от 10.07.96 №1024,п.4
Сообщать [в области авторского права и смежных прав] Показывать, исполнять, переда- вать в эфир или совершать иное действие (за исключением распро- странения экземпляров произве- дения или фонограммы), посред- ством которого произведения, фо- нограммы, исполнения, постановки, передачи организации эфирного или кабельного вещания становятся доступными дая слу- хового и(или) зрительного вос- приятия, независимо от их факти- ческого восприятия публикой Закон РФ от 09:07.93№5351-1 «Об авторском праве и смежных правах», ст. 4
Сообщать дая все- общего сведения по кабелю [в области авторского права и смежных прав] Сообщать произведения, фоно- граммы, исполнения, постановки, передачи организаций эфирного или кабельного вешания дая всеобщего сведения посредством кабеля, про- вода, оптического волокна или с помощью аналогичных средств Закон РФ от 09.07.93 №5351-1 «Об авторском праве и смежных правах», ст. 4
513
Основы информационной безопасности
Термин Определение Источник
Составитель (в области авторского права) Автор сборника и других состав- ных произведений; составительст- во - подбор или расположение ма- териалов, представляющие ре- зультат творческого труда Закон РФ от 09.07.93 №5351-1 «Об авторском праве и смежных правах», ст. 11
Специализированное средство массовой информации Такое средство массовой инфор- мации, ддя регистрации или рас- пространения продукции которого настоящим Законом установлены специальные правила Закон РФ от 27.12.91 №2124-1 «О средствах массовой инфор- мации», ст. 2
Специальная информация Материалы внешней разведыва- тельной деятельности, информа- ция по поддержанию управления народным хозяйством в особый период, военное время и при чрез- вычайных ситуациях, экономиче- ская информация мобилизацион- ного назначения, информация со- циально-экономического мониторинга, необходимые ддя принятия решений в области безопасности, обороны, экономи- ки, науки и техники, международ- ных отношений, экологии, а также мобилизационной готовности Закон РФ от 1902.93№-1524-1 «О Федеральных органах прави- тельственной связи и информа- ции», ст. 3
Специальная и защищенная база данных База данных, содержащая сведе- ния, отнесенные в установленном порядке к государственной тайне Временное поло- жение, утвер- жденное поста- новлением Пра- вительства РФ от 28.02.96 №226, п. 5.1
Способ защиты информации Порядок и правила применения определенных принципов и, средств защиты информации ГОСТР 50922-96. Защита инфор- мации. Основные термины и опре- деления
Средства электронной цифровой подписи Аппаратные и (или) программные средства, обеспечивающие реали- зацию хотя бы одной из следую- щих функций - создание элек- тронной цифровой подписи в электронном документе с исполь- Федеральный за- кон РФ от 10 ян- варя 2002 г. №1-ФЗ«Об электронной циф- ровой подписи»
Приложение 10
Термин Определение Источник
зованием закрытого ключа элек- тронной цифровой подписи, под- тверждение с использованием от- крытого ключа электронной циф- ровой подписи поддинности электронной цифровой подписи в электронном документе, созда- ние закрытых и открытых ключей электронных цифровых подписей
Средства зашиты информации Технические, криптографические, программные и другие средства, предназначенные для защиты све- дений, «составляющих государст- венную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации Закон РФ от 21.07.93 №5485-1 «О государствен- ной тайне» вред. Федерального за- кона от 06.10.97 № 131-ФЗ, ст. 2
Средство защиты информации Техническое, программное сред- ство, вещество и (или) материал, предназначенные или используе- мые дая защиты информации ГОСТ Р 50922-96. Защита инфор- мации. Основные термины и опре- деления
Средства контроля эффективности защиты информации Техническое, программное сред- ство, вещество и/или материал, предназначенные или используе- мые ддя контроля эффективности защиты информации ГОСТ Р 50922-96. Защита инфор- мации. Основные термины и опре- деления
Средства массовой информации Периодическое печатное издание, радио-, теле-, видеопрограмма, кинохроникальная программа, иная форма периодического рас- пространения массовой информа- ции Закон РФ от 27.12.91 №2124-1 «О средствах массовой инфор- мации», ст. 2; Федеральный за- кон от 01.12.93 №191-ФЗ«Ого- сударственной поддержке средств массовой информации и книгоиздания Рос- сийской Оедера- ции», cm. I
Основы информационной безопасности
Термин Определение Источник
Средства массовой информации рек- ламного характера Средство массовой информации, в котором реклама превышает 40 процентов объема отдельного номера периодического издания, а в теле-, радиопрограммах - 25 процентов объема вещания Федеральный закон от 01.12.95 > 191-ФЗ «О го- сударственной поддержке средств массовой информации и книгоиздания Рос- сийской Федера- ции», ст. 1
Средства массовой информации эротического характера Периодическое печатное издание или теле-, радиопрограмма, кото- рые в целом и систематически эксплуатируют интерес к сексу Федеральный закон от 01.12.95 > 191-ФЗ «О го- сударственной поддержке средств массовой информации и книгоиздания Рос- сийской Федера- ции», ст. 1
Средства международного информационного обмена Информационные системы, сети и сети связи, используемые при ме- ждународном информационном обмене Федеральный закон от 04.07.96 №85-ФЗ «Об уча- стии в междуна- родном информа- ционном обмене», ст. 2
Средства обеспечения автоматизированных информационных систем и их технологий Программные, технические, лин- гвистические, правовые, органи- зационные средства (программы для электронных вычислительных машин; средства вычислительной техники и связи; словари, тезауру- сы и классификаторы; инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуата- ционная и сопроводительная до- кументация), используемые или создаваемые при проектировании информационных систем и обес- печивающие их эксплуатацию Федеральный закон от 20.02.95 № 24-ФЗ «Об ин- формации, ин- форматизации и защите информа- ции», ст. 2
Приложение 10
Термин Определение Источник
Средства почтовой связи Здания, сооружения, нежилые по- мещения, оборудование и почто- вый транспорт, почтовые конвер- ты и почтовая тара, используемые для оказания услуг почтовой связи Федеральный закон от 17.07.99 №176-ФЗ «О почтовой свя- зи», ст. 2
Средства связи Технические средства, используе- мые для формирования, обработ- ки, передачи или приема сообще- ний электросвязи либо почтовых отправлений Федеральный закон от 16.02.95 № 15-ФЗ «О свя- зи», ст. 2
Срок засекречивания сведений, составляющих государственную тайну Не должен превышать 30 лет. В исключительных случаях этот срок может быть продлен по за- ключению межведомственной ко- миссии по защите государствен- ной тайны Закон РФ от 21.07.93 №5485-1 «О государствен- ной тайне» вред. Федерального за- кона от 06.10.97 № 131-ФЗ, ст. 13
Стандарт Государственный стандарт, сани- тарные нормы и правила, строи- тельные нормы и правила и другие документы, которые в соответст- вии с законом устанавливают обя- зательные требования к качеству товаров (работ, услуг) Закон РФ от 0702.92 №2300-1 «О защите прав потребителей», (в рад. Федераль- ного закона от 09.01.96 №2-ФЗ, преамбула)
Стандартизация Деятельность по установлению норм, правил и характеристик... в целях обеспечения: безопасности продукции, работ и услуг для ок- ружающей среды, жизни, здоровья и имущества; технической и ин- формационной совместимости, а также взаимозаменяемости про- дукции; качества продукции, ра- бот и услуг в соответствии с уров- нем развития науки, техники и технологии, единства измерений; экономии всех видов ресурсов; безопасности хозяйственных субъектов с учетом риска возник- новения природных и техноген- ных катастроф и других чрезвы- чайных ситуаций; обороноспособ- ности и мобилизационной готовности страны Закон Российского Федерации от 10.06.93 №515-1- 1 «О стандарти- зации», cm. I
517
Основы информационной безопасности
Термин Определение Источник
Степень секретности сведений, составляющих государственную тайну Должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности РФ вследствие распространения ука- занных сведений. Устанавливаются три степени секретности сведений, состав- ляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений: «особой важности», «совершенно секрет- но» и «секретно» Закон РФ от 21.07.93 №>5485-1 «О государствен- ной тайне» вред. Федерального за- кона от 06.10.97 > 131-ФЗ, ст. 8
Страховой фонд документации Создание и сохранение страхового фонда документации на вооруже- ние и военную технику, важней- шую гражданскую продукцию, объекты повышенного риска, сис- темы жизнеобеспечения населения и объекты, являющиеся нацио- нальным достоянием, входит в со- держание мобилизационной под- готовки и мобилизации в РФ Федеральный закон от 26.02.97 №° 31-ФЗ «О мо- билизационной подготовке и мо- билизации в Рос- сийской Федера- ции», ст. 1
Субъект доступа (к информации) Субъект доступа: участник право- отношение в информационных процессах ГОСТР 50922-96. Защита инфор- мации. Основные термины и опре- деления. (Прил. А) \
Субъект доступа Лицо или процесс, действие кото- рого регламентируется правилами разграничения доступа Сборник руково- дящих докумен- тов по защите информации от несанкциониро- ванного доступа Государственной технической ко- миссии при Пре- зиденте РФ, 1998 г.
Субъекты безопасности Граждане, общественные органи- зации и объединения, обладающие правами и обязанностями по уча- стию в обеспечении безопасности Закон РФ от 05.03.92 №>2-146- 1 «О безопасно- сти»
Приложение 10
Термин Определение Источнык
Субъекты смежных прав Исполнители, производители фо- нограмм, организации эфирного или кабельного вещания Закон РФ от 09.07.93 №5351-1 «Об авторском праве и смежных правах», ст. 36
Тайна (почтовой) связи Тайна переписки, почтовых, теле- графных и иных сообщений, вхо- дящих в сферу деятельности опе- раторов почтовой связи, не под- лежащая разглашению без согласия пользователя услуг поч- товой связи. Информация об адресных данных пользователей услуг почтовой связи, о почтовых отправлениях, почтовых переводах денежных средств, телеграфных и иных со- общениях, входящих в сферу дея- тельности операторов почтовой связи, а также сами эти почтовые Отправления, переводимые де- нежные средства, телеграфные и иные сообщения являются тайной связи и могут выдаваться только отправителям (адресатам) или их представителям Федеральный за- кон от 17.07.99 №176-ФЗ «О почтовой свя- зи», ст. 2, 15
Тайна связи Тайна переписки, телефонных пе- реговоров, почтовых, телеграфных и иных сообщений, входящих в сферу деятельности операторов почтовой связи, не подлежащая разглашению без согласия пользо- вателя услуг почтовой связи Федеральный окон от 17.07.99 № 176-ФЗ«0 почтовой связи», ст. 1
Тайна связи Тайна переписки, телефонных пе- реговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электриче- ской и почтовой связи, охраняется Конституцией РФ. Примечание. Ограничения тайны связи: Прослушивание телефон- ных переговоров, ознакомление с сообщениями электросвязи, за- Федеральный закон от 16.02.95 №15-ФЗ «О свя- зи», ст. 32
519
Основы информационной безопасности
Термин Определение Источник
держка, осмотр и выемка почто- вых отправлений и документаль- ной корреспонденции, получение сведений о них, допускаются только на основании судебного решения и др.
Тайный архив Архив, о котором не заявлено пуб- лично Основы законо- дательства РФ об Архивном фон- де РФ и архивах от 07.07.93 М5341-1 ст. 1
Т елерадиокомпания, осуществляющая вещание на террито- рию избирательного округа Телерадиокомпания, зона уверен- ного приема теле-, радиопрограмм которой находится в пределах со- ответствующего избирательного округа либо примерно совпадает с его границами Положение, ут- вержденное Ука- зом Президента РФот.29.10. 93 Ns 1792, п. 2
Терроризм Совершение взрыва, поджога или иных действий, создающих опас- ность» гибели людей, причинения значительного имущественного ущерба либо наступления иных об- щественно опасных последствий, если эти действия совершены в це- лях нарушения общественной безо- пасности, устрашения населения либо оказания воздействия на при- нятие решений органами власти, а также угроза совершения указанных действий в тех же целях Уголовный кодекс Российский Феде- рации от 13.06.96 ,\Ь 63-ФЗ, ст. 203
Техника защиты информации Средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназна- ченные дда обеспечения, защиты информации ГОСТР 50922-96: Защити инфор- мации- Основные термины и опре- деления.
Технический кон- троль эффективно- сти защиты инфор- мации Контроль эффективности защиты информации, проводимой с ис- пользованием средств контроля ГОСТР 50922-96 Защита инфор- мацыи. Основные термины и опре- деления
Приложение 10
Термин Определение Источник
Топология интегральной микросхемы Зафиксированное на материаль- ном носителе пространственно- геометрическое расположение со- вокупности элементов интеграль- ной микросхемы и связей между ними Закон РФ от 23.09.92 > 3526-1 «О правовой ох- ране топологии интегральных микросхем», ст. 1
Трафик Совокупность сообщений, переда- ваемых по сети электросвязи Правила, утвер- жденные поста- новлением Пра- вительства РФ от 19.10.96 № 1254, ст. 2
Третейский инфор- мационный суд [при проведении избира- тельной кампании 1993 г.] Состоит из 9 членов, назначаемых Президентом РФ из числа специа- листов, не являющихся членами какого-либо избирательного объе- динения, кандидатами в депутаты Государственной думы или Совета Федерации либо их доверенными лицами Положение об информа ционных гарантиях пред- выборной агита- ции, утвержден- ное Указом Пре- зидента РФ от 29.10.93 №°1792, п. 9
Угрозы безопасности Совокупность условий и факто- ров, создающих опасность жиз- ненно важным интересам лично- сти, общества и государства Закон РФ от 05.03.92 №>2-146- 1 «О безопасно- сти», ст. 3
Угрозы информационной безопасности Российской Федерации (виды) Угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и ин- формационной деятельности, ин- дивидуальному, групповому и общественному сознанию, духов- ному возрождению России; угро- зы информационному обеспече- нию государственной политики РФ; угрозы развитию отечествен- ной индустрии информации, включая индустрию средств ин- форматизации, телекоммуникации и связи, обеспечению потребно- стей внутреннего рынка в ее про- дукции и выходу этой продукции на мировой рынок, а также обес- печению накопления, сохранности Доктрина инфор- мационной безо- пасности РФ, 2000 г.
Основы информационной безопасности
Термин Определение Источник
и эффективного использования отечественных информационных ресурсов; угрозы безопасности информационных и телекоммуни- кационных средств и систем, как уже развернутых, так и создавае- мых на территории России
Угрозы националь- ной безопасности РФ в информацион- ной сфере Стремление ряда стран к домини- рованию в мировом информаци- онном пространстве, вытеснению России с внешнего и внутреннего информационного рынка; разра- ботка рядом государств концеп- ции информационных войн, пре- дусматривающей создание средств опасного воздействия на инфор- мационные сферы других стран мира; нарушение нормального функционирования информацион- ных и телекоммуникационных систем, а также сохранности ин- формационных ресурсов, получе- ние несанкционированного досту- па к ним Указ Президента РФ от 10 января 2000 г. №>2-1 «О концепции на- циональной безо- пасности»
Услуги почтовой связи Действия или деятельность по приему, обработке, перевозке, доставке (вручению) почтовых от- правлений, а также по осуществ- лению почтовых переводов де- нежных средств Федеральный за- кон от 17. 07.99 №>176-ФЗ«0 почтовой связи», ст. 2
Услуги связи Продукт деятельности по приему, обработке, передаче и доставке почтовых отправлений или сооб- щений электросвязи Федеральный за- коном 16.02.95 № 15-ФЗ «О свя- зи», ст. 2
Услуги телеграфной связи Результат деятельности хозяйст- вующего субъекта в сфере оказа- ния услуг телеграфной связи Правила, утвер- жденные по становлением Правительства РФ от 23.04.94 №>374, п. 3 (утр. силу 28.08.97 №1108)
522
Приложение 10
Термин Определение Источник
Утечка информации Неконтролируемое распростране- ние защищаемой информации в результате ее разглашения, не- санкционированного доступа к информации и получения защи- щаемой информации разведкой ГОСТР 30922-96. Защита инфор- мации. Основные термины и опре- деления
Учреждения связи См.: Предприятия, учреждения и организации связи
Федеральное агент- ство правительст- венной связи и ин- формации при Президенте РФ (ФАПСИ) Центральный орган федеральной исполнительной мести, ведающий вопросами организации и обеспе- чения правительственной связи, иных видов специальной связи для государственных органов, органи- зации и обеспечения криптогра- фической и инженерно-техничес- кой безопасности шифрованной связи, организации и ведения раз- ведывательной деятельности в сфере шифрованной, засекречен- ной и иных видов специальной связи, специального информаци- онного обеспечения высших орга- нов государственной власти РФ, центральных органов федеральной исполнительной власти Закон РФ от J 9.02.93 №4524-1 «О федеральных органах прави- тельственной связи и информа- ции», ст. 6
Федеральные органы правительственной связи и информации Составная часть сил обеспечения безопасности РФ, обеспечиваю- щая государственные органы, ор- ганизации, предприятия, учрежде- ния специальными видами связи и информации, а также организую- щая деятельность центральных органов федеральной исполни- тельной власти, организаций, предприятий, учреждений по обеспечению криптографической и инженерно-технической безо- пасности шифрованной связи в РФ и ее учреждениях за рубежом, осуществляющая государственный контроль за этой деятельностью Закон РФ от 19.02.93 №4524-1 «О федеральных органах прави- тельственной связи и информа- ции». ст.1
Основы информационной безопасности
Термин Определение Источник
Фонограмма Любая исключительно звуковая запись исполнений или иных звуков Закон РФ от 09.07.93 №5351-1 «Об авторском праве и смежных правах», ст. 4
Целостность информации Способность средства вычисли- тельной техники или автоматизи- рованной системы обеспечивать неизменность информации в усло- виях случайного и (или) предна- меренного искажения (разруше- ния) Сборник руково- дящих докумен- тов по защите информации от несанкциониро- ванного доступа Государст венной технической ко- миссии при Пре- зиденте РФ, 1998 г.
Цель защиты информации Желаемый результат защиты ин- формации. Примечание. Целью защиты информации может быть предотвращение ущерба собст- веннику, владельцу, пользователю информации в результате возмож- ной утечки информации и (или) несанкционированного и непред- намеренного воздействия на ин- формацию ГОСТР 50922-96. Защита инфор- мации. Основные термины и опре- деления
Цензура массовой информации Требование от редакции средства массовой информации со стороны должностных лиц, государствен- ных органов, организаций, учреж- дений или общественных объеди- нений предварительно согласовы- вать сообщения и материалы (кроме случаев, когда должност- ное лицо является автором или интервьюируемым), а равно нало- жение запрета на распространение сообщений и материалов, их от- дельных частей Закон РФ от 27.12.91 №2124-1 «О средствах массовой инфор- мации», ст. 3
Централизованная библиотечная сис- тема Добровольное объединение биб- лиотек в структурно-целостное образование Федеральный закон от 29.12.94 № 78-ФЗ «О библиотечном деле», ст. 1
Приложение 10
Термин Определение Источник
Чрезвычайная ситуация Это обстановка на определенной территории, сложившаяся в ре- зультате аварии, опасного при- родного явления, катастрофы, стихийного или иного бедствия, которые могут повлечь или по- влекли за собой человечески жерт- вы, ущерб здоровью людей или окружающей природной среде значительные материальные поте- ри и нарушение условий жизне- деятельности людей Федеральный закон от 21.12.94 > 68- ФЗ «О за- щите населения и территории от чрезвычайных си- туации природно- го и техногенного характера», cm. I; Типовое соглаше- ние о сотрудниче- стве в области предупреждения и ликвидации чрез- вычайных ситуа- ций, одобренное постановлением Правительства РФ от 30.04.97 №516, cm. I
Чрезвычайное по- ложение, вводимое на всей либо на час- ти территории РСФСР Особый правовой режим деятель- ности органов государственной власти и управления, предпри- ятий, учреждений и организаций, допускающий установленные на- стоящим Законом ограничения прав и свобод граждан и прав юридических лиц, а также возло- жение на них дополнительных обязанностей. Чрезвычайное по- ложение является временной ме- рой и может вводиться исключи- тельно в интересах обеспечения безопасности граждан и охраны конституционного строя респуб- лики Закон РСФСР от 17.05.91 №1253-1 «О чрезвычайном положении», ст. 1
Экземпляр произведения Копия произведения, изготовлен- ная в любой материальной форме Закон РФ от 09.07.93 №5351-1 «Об авторском праве и смежных правах», ст. 4
525
Основы информационной безопасности
Термин Определение Источник
Экземпляр фонограммы Копия фонограммы на любом ма- териальном носителе, изготовлен- ная непосредственно или косвенно с фонограммы и включающая все звуки или часть звуков, зафикси- рованных в этой фонограмме Закон РФ от 09.07.93 №5351-1 «Об авторском праве и смежных правах», ст. 4
Электронный документ Документ, в котором информация представлена в электронно- цифровой форме Федеральный закон РФ от 10 января 2002 г. № 1-ФЗ «Об электронной циф- ровой подписи»
Электронная цифровая подпись Реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в ре- зультате криптографического пре- образования информации с ис- пользованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить от- сутствие искажения информации в электронном документе Федеральный закон РФ от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи»
Эффективность защиты информации Степень соответствия результатов защиты информации поставлен- ной цели ГОСТР 0922-96. Защита инфор- мации. Основные термины и опре- деления
Приложение 11
ТЕРМИНЫ ПО ЗАЩИТЕ ИНФОРМАЦИИ
Термины расположены в алфавитном порядке по первому слову.
Прямым шрифтом в круглых скобках приведены факультативные эле-
менты терминов, в квадратных скобках - синонимические варианты
предшествующего элемента или группы элементов; adj - прилагательное
или причастие, v - глагол.
Access control Контроль доступа, управление доступом
Access method Метод доступа
Access mode Режим доступа
Access right Право доступа
Access scan Поиск с перебором
Adversary См.: attacker
Amplification Расширение прав
Asymmetric encryption Асимметрическое шифрование
Asynchronous attack Шифрование типа «асинхронная атака»
Attack Попытка раскрытия (криптосистемы), криптоанализ
Attacker Нарушитель, противник
Audit log Журнал ревизии
Authenti(fi)cation 1. Аутентификация, опознавание. 2. Подтверждение права на доступ. 3. Проверка подлинности
Authenti(fi)cation code Код аутентификации
Authenti(fi)cation of message Аутентификация сообщения
Authenti(fi)cation of user Аутентификация пользователя
Authentication problem Проблема проверки на достоверность
Authorization 1. Разрешение, предоставление права на доступ. 2. Проверка полномочий. 3. Авторизация
Authorized access Санкционированный доступ
Authorized user 1. Зарегистрированный пользователь. 2. Привилегированный пользователь
Auxiliary key Вторичный ключ
527
Основы информационной безопасности
Birthday attack Криптоанализ на основе парадокса дней рождения
Block chaining Сцепление блоков
Block encryption Блочное шифрование
Candidate key Возможный ключ
Capabilities list Список полномочий (мандатов)
Capability Полномочия, мандат
Capability-based addressing Адресация по полномочиям
Certification Освидетельствование
Central keying authority Центр распределения [распространения, управ- ления] ключей, ЦРК
Chained key Сцепленный ключ (в базах данных)
Challenge and response procedure Процедура запроса и подтверждения
Cheating Обман
Cipher I Шифр, код
Cipher II, v Шифровать, кодировать
Cipherer Шифратор, кодирующее устройство
Ciphertext Шифротекст
CKA См.: central keying authority
Classical cipher Классический шифр
Clear text Исходный текст
Code Код (метод преобразования открытого текста в криптограмму путем использования кодовых таб- лиц)
Common system area Общая системная область защиты
Computational compexity Вычислительная сложность
Computer security Защита [защищенность] ЭВМ от несанкциониро- ванного доступа
Concatenated key См.: chained key
Conceptual integrity Концептуальная целостность [последователь- ность, согласованность]
Confinement Изоляция
Consistency Целостность, непротиворечивость
Control Program Facility Управляющая программа
CPF См.: Control Program Facility
Cryptanalysis Криптоанализ, анализ шифра (метод раскрытия кода или шифра)
Cryptanalyst Дешифровальщик
528
Приложение 11
Criptography Криптография
Crypto logy Криптология (сочетание криптографии и крип- тоанализа)
Cryptosystem Криптографическая система
CSA См.: common system area
DAM См.: direct access method
Data corruption Нарушение целостности данных
Data Encryption Standard Стандарт на шифрование данных
Data integrity Целостность [сохранность, неискаженность, под- линность] данных
Data protection Защита данных
Data security Защита [защищенность] информации [данных] (от несанкционированного доступа)
Data set Набор данных
Decipher, v Расшифровывать; декодировать
Decryption Расшифрование, дешифрование, декодирование
Decryption key Ключ расшифрования
Denial-of-access external security Внешняя безопасность на основе лишения доступа
DES См.: Data Encryption Standard
Detection mechanism Система [устройства] обнаружения
Digital signature Цифровая подпись
Direct access method Прямой метод доступа
Division of responsibilities Разделение обязанностей
Eavesdropper Пассивный нарушитель, перехватчик
Encipherer Шифратор, кодирующее устройство
Enciphering key Ключ шифрования
Encode, v Шифровать, кодировать
Encoder 1. Кодер, кодирующее устройство. 2. Кодировщик, шифровальщик
Encription (За)шифрование
Encription key Ключ шифрования
Endorsment Аттестация
End-to-end Сквозное шифрование
Essential undecidability Существенная неразрешимость
Exposure Незащищенность (данных), подверженность (данных постороннему воздействию)
529
Основы информационной безопасности
External security Внешняя защита
Extra key Дополнительный ключ (поиска)
Forger Фальсификатор, подделыватель (подписи, доку- мента и т. д.)
Forgery 1. Подделка, подлог. 2. Фальшивый документ. 3. Подложная подпись
Geeric key Общий ключ; общая часть ключа
Geeric operation Типовая операция
Geeric system functional flaw Типовой функциональный дефект
Hardware security Аппаратная защита
Identification 1. Идентификация (процесс отождествления объ- екта с одним из известных системе объектов; опознавание выдавшего запрос пользователя, ка- нала или процесса). 2. Метка, идентифицирующая объект
Identify, v 1. Идентифицировать, распознавать, опознавать. 2. Обозначать, именовать
Implementation standard Стандарт реализации
Inconsistency Нарушение целостности, противоречивость
Infinite random key Неопределенный рандомизированный ключ (шифра)
Insecure channel Незащищенный канал
Insider Пользователь (системы, в системе)
Intended receiver Санкционированный получатель
Integrity Целостность, сохранность (данных)
Interface standard Стандарт взаимодействия
Internal security Внутренняя безопасность [защита]
Interoperability Функциональная совместимость, стандарт на функциональную совместимость
Intruder Нарушитель, злоумышленник (пользователь или программа, пытающиеся получить несанкциони- рованный доступ к данным); см. также attacker
KDC См.: key distribution cente
Key Ключ
Key distribution Распределение [распространение, доставка, пере- дача] ключей, ЦРК
Key field Поле ключа
530
Приложение 11
Key management Управление ключами
Key notarization Нотаризация нотариальное засвидетельствова- ние] ключа
Key protection Защита по ключу
Key-sequenced data set Набор данных, упорядоченный по поступлению ключей записей
Key-verify Контролировать (данные) повторным набором на клавиатуре
Knapsack cryptosystem Ранцевая криптосистема
Legality checking Проверка законности
Legitimate user Законный пользователь
Link encryption Шифрование передач по линиям (каналам) связи
Lost object problem Проблема утери объектов
Major key Главный (первичный] ключ
Model validation Обоснование модели
Monitoring Проверка, контроль
Multiple-key retrieval Выборка [поиск] по нескольким ключам
Operating system penetration Преодоление защиты операционной системы
Operator spoof Обман оператора
Pass key Ключ (для) доступа
Password sutentication Идентификация по паролю
Password protection Защита паролями
Penetration entrapment Ловушка для злоумышленников [нарушителей]
Penetration work factor Объем работы по преодолению защиты
Physical security Физическая защита [защищенность]
Piggyback Паразитирование
Plaintext Открытый текст, исходный текст
Primary key Первичный [главный] ключ
Privacy Секретность, конфиденциальность
Privacy problem Проблема сохранения тайны
Privacy key Секретный ключ
Privacy key encryption Шифрование по закрытым ключам в криптоси- стеме с открытыми ключами
Privilege violation Нарушение полномочий
Problem of dispute Проблема подтверждения отправителя
Protection against disasters Защита от бедствий
531
Основы информационной безопасности
Protection against intruders Защита от злоумышленников
Protection domain Область защиты
Protection key Ключ защиты (памяти)
Private, adj Секретный
Private exponent Секретный показатель степени
Public key Открытый ключ
Public key encryption Шифрование с открытыми ключами
Public, adj Открытый
Public exponent Открытый показатель степени
Public key system Криптосистема с открытым ключом
Recursive unsolvability Рекурсивная неразрешимость
Revocation of capability Отмена полномочий
Receiver Получатель
Risk management Управление риском
Satisfiability Выполнимость (требований)
Secondary key Вторичный ключ
Secrecy Секретность
Secure data storage Надежное хранение данных
Security Безопасность, защита, защищенность, стойкость
Security suditing Проверка защиты, проверка на стойкость
Security requirement Требование по безопасности [защите]
Security standard Стандарт по защите от несанкционированного доступа
Sensitive, adj Конфиденциальный (об информации)
Sign I 1. Признак. 2. Обозначение. 3. Знак (при числе). 4. Заверение (документа или данных)
Sign II, v 1. Подписывать(ся). 2. Заверять
Signature Сигнатура, подпись
Sound protocol Надежный протокол
Space object Объект памяти
Storage key 1. Ключ хранения (в базах данных). 2. Ключ зашиты памяти
Storage protection Защита памяти
Storage protection key Ключ защиты памяти
532
Приложение 11
Stream encryption Поточное шифрование
Strong cryptoalgoritm Стойкий криптоалгоритм
Substitution cipher Шифр подстановки
Surveillance Надзор (наблюдение за работой системы), реви- зия, идентификация (подтверждение права дос- тупа)
Surveilance program Программы контроля
Survivable system Живучая система
Symmetric encryption Симметричное шифрование
System pointer Системный указатель [ссылка]
Threat monitoring Профилактический контроль
Transparent multiprocessing Прозрачная мультипроцессорная обработка
Transposition cipher Перестановочный шифр
Trap Ловушка, тайный ход
Trap door Лазейка (слабое место, напр. в системе защиты), тайный ход
Trapping Организация ловушек (в системе)
«Trojan Horse» «Троянский конь»
Undecipherable Не поддающийся расшифровке
Unauthorized, adj 1. Несанкционированный (о действии, предпри- нятом пользователем или программой без соот- ветствующих полномочий). 2. Непривилегированный (о пользователе или программе; не имеющих определенных прав)
Unauthorized access Несанкционированный доступ
Undecidability Неразрешимость
Unsolvability Неразрешимость
User Пользователь
User suthentification Идентификация пользователя
User-defined key Ключ пользователя; клавиша, программируемая пользователем
User interface security Безопасность [защита] интерфейса с пользовате- лем [пользовательского интерфейса]
User requirement Требование пользователя (устанавливаемое поль- зователем)
User identification См.: user authentification
User interface security Безопасность интерфейса пользователя
Validation Проверка правильности
Weak cryptoalgorithm Нестойкий криптоалгоритм
533
ОГЛАВЛЕНИЕ
Предисловие....................................................3
Введение.......................................................5
Часть 1. ОСНОВЫ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ
ПОЛИТИКИ И ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
РОССИЙСКОЙ ФЕДЕРАЦИИ...........................................12
1. Понятие национальной безопасности...........................12
1.1. Интересы и угрозы в области национальной безопасности.12
1.2. Влияние процессов информатизации общества
на составляющие национальной безопасности и их содержание...19
2. Информационная безопасность в системе национальной
безопасности Российской Федерации..........................20
2.1. Основные понятия, общеметодологические принципы
обеспечения информационной безопасности.................20
2.2. Национальные интересы в информационной сфере.......32
2.3. Источники и содержание угроз в информационной сфере.36
3. Государственная информационная политика.....................41
3.1. Основные положения государственной информационной
политики Российской Федерации...............................41
3.2. Первоочередные мероприятия по реализации
государственной политики обеспечения информационной
безопасности............................................44
4. Информация - наиболее ценный ресурс современного
общества...................................................45
4.1. Понятие «информационный ресурс»....................45
4.2. Классы информационных ресурсов.....................49
5. Проблемы информационной войны...........................64
5.1. Информационное оружие и его классификация..........64
5.2. Информационная война...............................66
6. Проблемы информационной безопасности в сфере
государственного и муниципального управления...............69
6.1. Информационные процессы в сфере государственного
и муниципального управления.............................69
6.2. Виды информации и информационных ресурсов
в сфере ГМУ.............................................74
6.3. Состояние и перспективы информатизации сферы ГМУ...75
7. Система подготовки кадров в области информационной
безопасности в Российской Федерации........................78
534
Оглавление
7.1. Структура системы подготовки кадров в области
информационной безопасности.............................78
7.2. Состав учебно-методического обеспечения системы
и ее подсистема управления..............................81
7.3. Основные направления учебной деятельности..........83
Литература..................................................85
Часть 2. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
АВТОМАТИЗИРОВАННЫХ СИСТЕМ...................................87
1. Современная постановка задачи защиты информации..........87
2. Организационно-правовое обеспечение, информационной
безопасности................................................88
2.1. Информация как объект юридической защиты.
Основные принципы засекречивания информации.............88
2.2. Государственная система правового обеспечения
защиты информации в Российской Федерации........99
3. Информационные системы..................................108
3.1. Общие положения...................................109
3.2. Информация как продукт.............................ИЗ
3.3. Информационные услуги.............................118
3.4. Источники конфиденциальной информации
в информационных системах..............................126
3.5. Что приводит к неправомерному овладению
конфиденциальной информацией в информационных системах__131
3.6. Виды технических средств информационных систем....137
4. Угрозы информации.......................................139
4.1. Классы каналов несанкционированного получения
информации.............................................142
4.2. Причины нарушения целостности информации..........143
4.3. Виды угроз информационным системам................144
4.4. Виды потерт7'.....................................148
4.5. Информационные инфекции...........................154
4.6. Убытки, связанные с информационным обменом........158
4.7. Модель нарушителя информационных систем...........163
5. Методы и модели оценки уязвимости информации............173
5.1. Эмпирический подход к оценке уязвимости информации..176
5.2. Система с полным перекрытием......................179
5.3. Практическая реализация модели «угроза - защита»..180
6. Рекомендации по использованию моделей оценки
уязвимости информации......................................182
7. Методы определения требований к защите информации.......184
535
Основы информационной безопасности
8. Анализ существующих методик определения требований
к защите информации......................................195
8.1. Требования к безопасности информационных
систем в США......................196
8.2. Требования к безопасности информационных
систем в России.......................................203
8.3. Классы защищенности средств вычислительной техники
от несанкционированного доступа.......................207
8.4. Оценка состояния безопасности ИС Франции.........210
8.5. Факторы, влияющие на требуемый уровень защиты
информации............................................220
8.6. Критерии оценки безопасности информационных
технологий............................................221
9. Функции и задачи защиты информации....................231
9.1. Общие положения..................................231
9.2. Методы формирования функций защиты...............233
9.3. Классы задач защиты информации...................234
9.4. Функции защиты...................................241
9.5. Состояния и функции системы защиты информации....241
10. Стратегии защиты информации..........................243
11. Способы и средства защиты информации.................245
12. Криптографические методы защиты информации...........249
12.1. Требования к криптосистемам.....................252
12.2. Основные алгоритмы шифрования...................253
12.3. Цифровые подписи................................255
12.4. Криптографические хеш-функции...................257
12.5. Криптографические генераторы случайных чисел....257
12.6. Обеспечиваемая шифром степень защиты............258
12.7. Криптоанализ и атаки на криптосистемы...........260
13. Архитектура систем защиты информации.................262
13.1. Требования к архитектуре СЗИ....................262
13.2. Построение СЗИ.................265
13.3. Ядро системы защиты информации..................265
13.4. Ресурсы системы защиты информации...............266
13.5. Организационное построение......................267
Литература...............................................268
Приложение 1. РАБОЧАЯ ПРОГРАММА ПО ДИСЦИПЛИНЕ
«ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ».....................271
I. Цели и задачи дисциплины, ее место в учебном процессе.
Цели преподавания дисциплины.............................271
536
Оглавление
Задачи изучения дисциплины............................271
Общие указания к выполнению практических занятий......271
Перечень дисциплин, усвоение которых необходимо
для изучения данного курса............................272
II. Содержание дисциплины................................272
1. Теоретические занятия (18 ч).......................272
2. Практические занятия (18 ч)........................275
3. Самостоятельная работа (28 ч)......................275
III. Учебно-методические материалы по дисциплине.........275
Основная литература...................................275
Дополнительная литература.....................,.......276
Законодательство..............................,.......277
Приложение 2. ИНДИВИДУАЛЬНЫЕ ЗАДАНИЯ.....................278
Первое задание...................,.......................278
Второе задание...........................................278
Приложение 3. ВОПРОСЫ К ЭКЗАМЕНУ.........................281
Приложение 4. ДОКТРИНА ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ........................283
I. Информационная безопасность Российской Федерации......283
1. Национальные интересы Российской Федерации
в информационной сфере и их обеспечение...............283
2. Виды угроз информационной безопасности
Российской Федерации..........,.......................287
3. Источники угроз информационной безопасности
Российской Федерации..................................291
4. Состояние информационной безопасности Российской
Федерации и основные задачи по ее обеспечению.........292
II. Методы обеспечения информационной безопасности
Российской Федерации......................................296
5. Общие методы обеспечения информационной
безопасности Российской Федерации......................296
6. Особенности обеспечения информационной
безопасности Российской Федерации в различных
сферах общественной жизни..............................299
7. Международное сотрудничество Российской Федерации
в области обеспечения информационной безопасности......315
III. Основные положения государственной политики
обеспечения информационной безопасности Российской
Федерации и первоочередные мероприятия по ее реализации..316
537
Основы информационной безопасности
8. Основные положения государственной политики обеспечения
информационной безопасности Российской Федерации......316
9. Первоочередные мероприятия по реализации
государственной политики обеспечения
информационной безопасности Российской Федерации......319
IV. Организационная основа системы обеспечения
информационной безопасности Российской Федерации...........320
10. Основные функции системы обеспечения информационной
безопасности Российской Федерации.......................320
11. Основные элементы организационной основы системы
обеспечения информационной безопасности
Российской Федерации..................................322
Приложение 5. ФЕДЕРАЛЬНЫЙ ЗАКОН РОССИЙСКОЙ
ФЕДЕРАЦИИ «ОБ ИНФОРМАЦИИ, ИНФОРМАТИЗАЦИИ
И ЗАЩИТЕ ИНФОРМАЦИИ».......................................325
Глава 1. Общие положения...................................325
Статья 1. Сфера действия настоящего Федерального закона.325
Статья 2. Термины, используемые в настоящем Федеральном
законе, их определения................................325
Статья 3. Обязанности государства в сфере формирования
информационных ресурсов и информатизации..............327
Глава 2. Информационные ресурсы..........................328
Статья 4. Основы правового режима информационных
ресурсов..............................................328
Статья 5. Документирование информации.................328
Статья 6. Информационные ресурсы как элемент состава
имущества и объект права собственности................329
Статья 7. Государственные информационные ресурсы......330
Статья 8. Обязательное представление
документированной информации для формирования
государственных информационных ресурсов...............331
Статья 9. Отнесение информационных ресурсов
к общероссийскому национальному достоянию.............332
Статья 10. Информационные ресурсы по категориям доступа.332
Статья И. Информация о гражданах (персональные данные)..333
Глава 3. Пользование информационными ресурсами...........334
Статья 12. Реализация права на доступ к информации
из информационных ресурсов............................334
Статья 13. Гарантии предоставления информации.........335
538
Оглавление
Статья 14. Доступ граждан и организаций к информации о них . . . 336
Статья 15. Обязанности и ответственность владельца
информационных ресурсов................................336
Глава 4. Информатизация. Информационные системы, технологии
и средства их обеспечения..................................337
Статья 16. Разработка и производство информационных систем,
технологий и средств их обеспечения....................337
Статья 17. Право собственности на информационные системы,
технологии и средства их обеспечения...................337
Статья 18. Право авторства и право собственности
на информационные системы, технологии и средства
их обеспечения.........................................338
Статья 19. Сертификация информационных систем, технологий,
средств их обеспечения и лицензирование деятельности по
формированию и использованию информационных ресурсов...338
Глава 5. Защита информации и прав субъектов в области
информационных процессов и информатизации..................339
Статья 20. Цели защиты.................................339
Статья 21. Защита информации...........................339
Статья 22. Права и обязанности субъектов в области защиты
информации.............................................340
Статья 23. Защита прав субъектов в сфере информационных
процессов и информатизации.............................341
Статья 24. Защита права на доступ к информации.........342
Статья 25. Вступление в силу настоящего Федерального закона_342
Приложение 6. ФЕДЕРАЛЬНЫЙ ЗАКОН РОССИЙСКОЙ
ФЕДЕРАЦИИ «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ»................344
Глава 1. Общие положения........................................344
Статья 1. Цель и сфера применения настоящего
Федерального закона....................................344
Статья 2. Правовое регулирование отношений в области
использования электронной цифровой подписи.............344
Статья 3. Основные понятия, используемые в настоящем
Федеральном законе.....................................345
Глава 2. Условия использования электронной
цифровой подписи...........................................346
Статья 4. Условия признания равнозначности электронной
цифровой подписи и собственноручной подписи............346
Статья 5. Использование средств электронной цифровой
подписи................................................347
539
Основы информационной безопасности
Статья 6. Сертификат ключа подписи......................348
Статья 7. Срок и порядок хранения сертификата ключа
подписи в удостоверяющем центре.........................349
Глава 3. Удостоверяющие центры.............................349
Статья 8. Статус удостоверяющего центра.................349
Статья 9. Деятельность удостоверяющего центра...........350
Статья 10. Отношения между удостоверяющим центром
и уполномоченным федеральным органом исполнительной
власти..................................................351
Статья 11. Обязательства удостоверяющего центра
по отношению к владельцу сертификата ключа подписи......352
Статья 12. Обязательства владельца сертификата ключа
подписи.................................................352
Статья 13. Приостановление действия сертификата ключа
подписи.................................................353
Статья 14. Аннулирование сертификата ключа подписи......354
Статья 15. Прекращение деятельности удостоверяющего центра_354
Глава 4. Особенности использования электронной цифровой
подписи....................................................355
Статья 16. Использование электронной цифровой подписи
в сфере государственного управления.....................355
Статья 17. Использование электронной цифровой подписи
в корпоративной информационной системе..................355
Статья 18. Признание иностранного сертификата ключа
подписи.................................................356
Статья 19. Случаи замещения печатей.....................356
Глава 5. Заключительные и переходные положения.............356
Статья 20. Приведение нормативных правовых актов
в соответствие с настоящим Федеральным законом..........356
Статья 21. Переходные положения.........................357
Приложение 7. ФЕДЕРАЛЬНЫЙ ЗАКОН
«О ТЕХНИЧЕСКОМ РЕГУЛИРОВАНИИ»..............................358
Глава 1. Общие положения...................................358
Статья 1. Сфера применения настоящего Федерального закона..358
Статья 2. Основные понятия..............................359
Статья 3. Принципы технического регулирования...........362
Статья 4. Законодательство Российской Федерации
о техническом регулировании.............................362
Статья 5. Особенности технического регулирования в отношении
оборонной продукции (работ, услуг) и продукции (работ, услуг),
сведения о которой составляют государственную тайну.....363
540
Оглавление
Глава 2. Технические регламенты...............................364
Статья 6. Цели принятия технических регламентов...........364
Статья 7. Содержание и применение технических регламентов..364
Статья 8. Виды технических регламентов....................368
Статья 9. Порядок разработки, принятия, изменения и отмены
технического регламента...................................369
Статья 10. Особый порядок разработки и принятия технических
регламентов...............................................373
Глава 3. Стандартизация.......................................374
Статья 11. Цели стандартизации............................374
Статья 12. Принципы стандартизации........................375
Статья 13. Документы в области стандартизации.............375
Статья 14. Национальный орган Российской Федерации
по стандартизации, технические комитеты по стандартизации.376
Статья 15. Национальные стандарты, общероссийские
классификаторы технико-экономической и социальной
информации................................................377
Статья 16. Правила разработки и утверждения национальных
стандартов................................................378
Статья 17. Стандарты организаций..........................380
Глава 4. Подтверждение соответствия...........................381
Статья 18. Цели подтверждения соответствия................381
Статья 19. Принципы подтверждения соответствия............381
Статья 20. Формы подтверждения соответствия...............382
Статья 21. Добровольное подтверждение соответствия........382
Статья 22. Знаки соответствия.............................384
Статья 23. Обязательное подтверждение соответствия........385
Статья 24. Декларирование соответствия....................385
Статья 25. Обязательная сертификация......................388
Статья 26. Организация обязательной сертификации..........388
Статья 27. Знак обращения на рынке........................390
Статья 28. Права и обязанности заявителя в области
обязательного подтверждения соответствия..................390
Статья 29. Условия ввоза на территорию Российской Федерации
продукции, подлежащей обязательному подтверждению
соответствия..............................................391
Статья 30. Признание результатов подтверждения соответствия.... 392
Глава 5. Аккредитация органов по сертификации
и испытательных лабораторий (центров).........................392
Статья 31. Аккредитация органов по сертификации
и испытательных лабораторий (центров).....................392
541
Основы информационной безопасности
Глава 6. Государственный контроль (надзор) за соблюдением
требований технических регламентов.............................393
Статья 32. Органы государственного контроля (надзора)
за соблюдением требований технических регламентов...........393
Статья 33. Объекты государственного контроля (надзора)
за соблюдением требований технических регламентов...........394
Статья 34. Полномочия органов государственного контроля
(надзора)...................................................394
Статья 35. Ответственность органов государственного контроля
(надзора) и их должностных лиц при осуществлении
государственного контроля (надзора) за соблюдением
требований технических регламентов..........................395
Глава 7. Информация о нарушении требований технических
регламентов и отзыв продукции..................................396
Статья 36. Ответственность за несоответствие продукции,
процессов производства, эксплуатации, хранения, перевозки,
реализации и утилизации требованиям технических
регламентов.................................................396
Статья 37. Информация о несоответствии продукции
требованиям технических регламентов.........................397
Статья 38. Обязанности изготовителя (продавца, лица,
выполняющего функции иностранного изготовителя)
в случае получения информации о несоответствии продукции
требованиям технических регламентов.........................397
Статья 39. Права органов государственного контроля (надзора)
в случае получения информации о несоответствии продукции
требованиям технических регламентов.........................398
Статья 40. Принудительный отзыв продукции...................399
Статья 41. Ответственность за нарушение правил выполнения
работ по сертификации.......................................400
Статья 42. Ответственность аккредитованной испытательной
лаборатории (центра)........................................400
Глава 8. Информация о технических регламентах
и документах по стандартизации.................................400
Статья 43. Информация о документах по стандартизации.......400
Статья 44. Федеральный информационный фонд технических
регламентов и стандартов....................................401
Глава 9. Финансирование в области технического
регулирования..................................................401
Статья 45. Порядок финансирования за счет средств
федерального бюджета расходов в области технического
регулирования...............................................401
542
Оглавление
Глава 10. Заключительные и переходные положения............402
Статья 46. Переходные положения.........................402
Статья 47. Приведение нормативных правовых актов
в соответствие с настоящим Федеральным законом..........403
Статья 48. Вступление в силу настоящего Федерального закона.... 404
Приложение 8. ФЕДЕРАЛЬНЫЙ ЗАКОН «О ЛИЦЕНЗИРОВАНИИ
ОТДЕЛЬНЫХ ВИДОВ ДЕЯТЕЛЬНОСТИ»..............................405
Статья 1. Сфера применения настоящего Федерального закона ... .405
Статья 2. Основные понятия...............................406
Статья 3. Основные принципы осуществления лицензирования ... .407
Статья 4. Критерии определения лицензируемых видов
деятельности............................................407
Статья 5. Определение полномочий Правительства
Российской Федерации при осуществлении лицензирования...408
Статья 6. Полномочия лицензирующих органов..............408
Статья 7. Действие лицензии.............................408
Статья 8. Срок действия лицензии........................409
Статья 9. Принятие решения о предоставлении лицензии___409
Статья 10. Содержание подтверждающего наличие лицензии
документа и решения о предоставлении лицензии...........411
Статья 11. Переоформление документа, подтверждающего
наличие лицензии........................................412
Статья 12. Осуществление контроля.......................412
Статья 13. Приостановление действия лицензии
и аннулирование лицензии................................413
Статья 14. Ведение реестров лицензий....................414
Статья 15. Лицензионные сборы...........................415
Статья 16. Финансирование лицензирования................415
Статья 17. Перечень видов деятельности, на осуществление
которых требуются лицензии..............................415
Статья 18. Переходные положения..........................422
Статья 19. Признание утратившими силу некоторых
законодательных актов в связи с принятием настоящего
Федерального закона.....................................422
Статья 20. Вступление в силу настоящего Федерального закона.... 423
Приложение 9. ФЕДЕРАЛЬНЫЙ ЗАКОН
«О КОММЕРЧЕСКОЙ ТАЙНЕ».....................................424
Статья 1. Цели и сфера действия настоящего
Федерального закона.....................................424
Статья 2. Законодательство Российской Федерации
о коммерческой тайне...................,................424
543
Основы информационной безопасности
Статья 3. Основные понятия, используемые в настоящем
Федеральном законе......................................424
Статья 4. Право на отнесение информации к информации,
составляющей коммерческую тайну, и способы получения
такой информации........................................426
Статья 5. Сведения, которые не могут составлять
коммерческую тайну......................................426
Статья 6. Предоставление информации, составляющей
коммерческую тайну......................................427
Статья 7. Права обладателя информации, составляющей
коммерческую тайну......................................428
Статья 8. Обладатель информации, составляющей
коммерческую тайну, полученной в рамках трудовых
отношений...............................................429
Статья 9. Порядок установления режима коммерческой
тайны при выполнении государственного контракта
для государственных нужд................................430
Статья 10. Охрана конфиденциальности информации..........430
Статья 11. Охрана конфиденциальности информации в рамках
трудовых отношений......................................431
Статья 12. Охрана конфиденциальности информации в рамках
гражданско-правовых отношений...........................433
Статья 13. Охрана конфиденциальности информации при ее
предоставлении..........................................434
Статья 14. Ответственность за нарушение настоящего
Федерального закона.....................................434
Статья 15. Ответственность за непредоставление органам
государственной власти, иным государственным органам,
органам местного самоуправления информации, составляющей
коммерческую тайну......................................435
Статья 16. Переходные положения.........................436
Приложение 10. ГЛОССАРИЙ....................................437
Приложение И. ТЕРМИНЫ ПО ЗАЩИТЕ ИНФОРМАЦИИ..................527
544
Книги издательства «Горячая линия - Телеком»
можно заказать через почтовое агентство DESSY: 107113, г.Москва, а/я 10,
а также интернет-магазин: www.dessy.ru
[. Ь. Белов, 1.0. Лось,
Р. В. Мещеряков, А. А. Шецнюв
Основы информационной
безопасности
Изложены вопросы теории и практики обеспечения
информационной безопасности личности, общества и
государства. Большое внимание уделено проблеме безопас-
ности автоматизированных систем, включая вопросы опреде-
ления модели нарушителя и требований к защите информа-
ции. Анализируются современные способы и средства
защиты информации и архитектура систем защиты
информации.
В приложениях приведен справочный материал по
ряду нормативных правовых документов и вариант рабочей
программы по дисциплине «Основы информационной
безопасности».
Для студентов высших учебных заведений, обучаю-
щихся по специальностям в области информационной
безопасности, может быть полезной для широкого круга
читателей, интересующихся вопросами обеспечения
информационной безопасности.
Сайт издательства:
www.techbook.ru